Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Installera och förbereda

3. Organisera LDAP-data

Du måste bestämma vilka primära domäner, användare, organisationsenheter och grupper som du vill synkronisera med Google-kontot med Google Cloud Directory Sync (GCDS). Du måste också tänka på lösenord och hur du vill mappa din katalogserverdata.

Du är på steg 3 av 5

Så här organiserar du din data

Utöka alla  |  Komprimera alla

Vilken är din primära domän?

Identifiera Google-domänen som du vill synkronisera. Du behöver detta när du konfigurerar GCDS. 

Obs! Du kan inte synkronisera domänaliasadresser med GCDS. Läs mer grundläggande information om domäner.

Du kan också använda en domännamnsersättning. Ett byte av domännamn används oftast för en testdomän, men det kan även användas om du utnyttjar GCDS att flytta till en ny domän. Om du anger en annan domän i konfigurationshanteraren kan du importera en fullständig lista över användare till en annan domän.

Konfigurera den nya domänen som en primär domän. I konfigurationshanterarens LDAP-konfiguration anger du sedan den nya domänen som din Google-domän och anger en administratör för domänen. I Google-domänkonfigurationen ställer du in GCDS på att ersätta domännamn i e-postadresser för LDAP med detta domännamn. I GCDS ändras e-postadresserna för alla dina användare till den nya domänen under synkroniseringen.

När din testperiod är slut kan du ändra domännamnet (och Google-administratören) till din faktiska primära domän och låta alla andra konfigurationsalternativ vara oförändrade.

Vilken användardata ska synkroniseras?
  • Användare: Gå igenom användarkatalogen med en LDAP-webbläsare och se till att du importerar rätt antal användare. Om du importerar fler användare än du har licens för, kan det uppstå fel under synkroniseringen. Läs mer om hur du hanterar användarlicenser.
  • Användarprofiler: Om LDAP-katalogservern innehåller ytterligare information, som adresser, telefonnummer eller kontaktuppgifter, kan du synkronisera denna information också.
  • Alias: Du kan synkronisera ett eller flera attribut för alias från din LDAP-katalog till Google-adressalias.
  • Unikt id: Om det är troligt att användarna ändrar användarnamn (e-postadresser), skapar du ett unikt id-attribut innan du konfigurerar en synkronisering så att användarinformation inte går förlorad när en användare ändrar sin e-postadress.
  • Lösenord: GCDS har stöd för en begränsad uppsättning lösenordsoperationer. Om du har en Microsoft Active Directory-server kan du hålla dina LDAP-kataloglösenord synkroniserade med Google-kontot med Password Sync.
  • Borttagna och avstängda användare: Som standard tas användare som inte finns i LDAP-katalogen bort från Google-kontot och avstängda användare ignoreras. Du kan ändra standardinställningen på sidan Användarkonton i konfigurationshanteraren. Om du ställer in GCDS på att stänga av användare istället för att ta bort dem kan du visa och överföra användarresurser och dra nytta av dataåterställning. Alternativt kan du ta bort avstängda användare, men du kan bara ta bort eller stänga av, inte båda.
Hur ska du organisera grupper och e-postlistor?

Du kan organisera användarna i Google-kontot efter e-postlista eller organisationsstruktur:

E-postlista

Bestäm vilka e-postlistor du vill synkronisera från LDAP-katalogservern till Google-kontot. E-postlistor på LDAP-katalogservern importeras som grupper i Google-kontot.

Vissa attribut för e-postlistor innehåller en adress och har ett format som användare@exempel.com. Vissa innehåller en referens till ett unikt namn och har följande format:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

Om du vill behålla e-postlistorna i Google-kontot:

  1. Ta reda på vilket attribut som innehåller medlemmarna i dina e-postlistor. Det är vanligtvis attributet member eller mailAddress.
  2. Ta reda på om LDAP-attributet för e-postlistans medlemmar innehåller en e-postadress eller ett unikt användarnamn.

Organisationsstruktur

Som standard synkroniserar GCDS alla användare i en enda platt struktur. Detta fungerar bra om du har en liten organisation eller om du vill att alla användare ska ha samma inställningar och rättigheter. Detta fungerar också bra om du testar en liten grupp innan en större distribution.

Om du vill använda en hierarki för organisationsenheter på ditt Google-konto kan du synkronisera organisationshierarkin från din LDAP-katalogserver. Om du gör det ska du först gå igenom organisationsenheterna med en LDAP-webbläsare och kontrollera att du synkroniserar rätt struktur. Du kan ha särskilda organisationsenheter som inte ska överföras till Google-kontot, exempelvis en organisationsenhet för skrivare.

Om du vill skapa organisationsenheter manuellt på ditt Google-konto kan du konfigurera dem i Google och sedan låta GCDS flytta användare till dessa organisationer utan att ändra de befintliga organisationerna. Välj det här alternativet på sidan Organisationsenheter i konfigurationshanteraren. För varje användarsökregel anger du den organisation som ska innehålla användarna för regeln, eller ett LDAP-attribut som innehåller namnet på lämplig organisation.

Vill du hantera licenser med GCDS?

Om du vill hantera licenser med GCDS måste du skapa och gruppera användare i specifika licensgrupper. Alternativt kan du ange ett specifikt attribut för varje användarkonto.

GCDS använder gruppen eller attributet för att bestämma vilken licens som ska tillämpas på ett konto.

Vill du synkronisera delade kontakter och kalenderresurser?

GCDS kan synkronisera andra LDAP-källor som delade kontakter och kalenderresurser till Google-kontot.

  • Delade kontakter: Delade kontaktuppgifter är synliga för alla användare på en kontaktlista. Om du ställer in delade kontakter aktiveras dessutom automatisk komplettering av e-postadresser i Gmail för varje användare på listan. Om du vill importera adresser till Google-kontot som delade kontakter aktiverar du Delade kontakter på sidan Allmänna inställningar i Konfigurationshanteraren. När du synkroniserar delade kontakter kan det ta upp till 24 timmar innan ändringarna visas på Google-domänen.

    Obs! GCDS synkroniserar bara delade kontakter. Personliga kontakter synkroniseras inte.

  • Kalenderresurser: Om du vill importera kalenderresurser (som konferensrum) från LDAP-katalogen till ditt Google-konto, måste du konfigurera kalenderresurssynkronisering så att resurserna är synliga för alla användare.

  • Du måste ange ett namngivningsformat för kalenderresurser. Tänk på att reglerna för kalenderresursnamn är annorlunda än annan synkroniserad information. Namn får inte innehålla blanksteg eller specialtecken. 

Hur ska du synkronisera lösenord?
Tips! Du kan använda Password Sync för att hålla användarnas Google Workspace-lösenord synkroniserade med Active Directory-lösenord.

GCDS har stöd för en begränsad uppsättning lösenordsoperationer. Det går enbart att importera lösenord i ett LDAP-attribut som lagrar lösenord i klartext, Base64-, osaltat MD5- eller osaltat SHA-1-format. Andra lösenordskrypterade och saltade hashar stöds inte. De flesta katalogservrar stöder inte dessa format internt och lagring av dina användarlösenord i dessa format på e-postservern kan få allvarliga konsekvenser för säkerheten.

GCDS har följande alternativ för lösenordssynkronisering:

  • Implementera enkel inloggning för domänen: Användarna har samma lösenord och auktorisering för Google-kontot och LDAP-katalogservern. Du kan konfigurera en SAML-server (Security Assertion Markup Language) för kontots hantering av enkel inloggning. GCDS skapar slumpmässiga lösenord under synkroniseringen i det här fallet.

    Obs! Enkel inloggning har enbart stöd för webbautentisering. Andra former av autentisering (som IMAP, POP och ActiveSync) stöder inte enkel inloggning och kräver fortfarande kräver ett Google-lösenord.

  • Använd ett LDAP-klartextattribut för standardlösenordet för nya användare: Använd det här alternativet om du vill att användarna ska ha separata engångslösenord. Med det här alternativet är Google-lösenorden separata från lösenorden på LDAP-katalogservern. Du kan använda den här metoden för att skapa ett tillfälligt lösenord från ett LDAP-attribut som innehåller data i klartextformat.
  • Använd ett externt verktyg för att konvertera lösenord som inte stöds till ett format som stöds: Använd det här alternativet om Google måste använda samma lösenord som LDAP-katalogservern, men du inte kan konfigurera en SAML-server. Sök på Google Workspace Marketplace efter externa verktyg som underlättar synkronisering av lösenord. Google ger inte stöd för externa verktyg.
  • Ange ett standardlösenord för nya användare: Med det här alternativet får varje ny användare samma lösenord tills de loggar in och ändrar det. Google-lösenorden är separata från lösenorden på LDAP-katalogservern. Om du vill använda det här alternativet anger du ett standardlösenord för nya användare och ställer sedan in GCDS på att synkronisera lösenord för nya användare och därefter tvinga dem att ändra sitt lösenord.
    Eftersom andra användare ibland kan gissa lösenordet rekommenderas det inte generellt som ett säkert alternativ.
Hur ska du mappa din data?

Du måste bestämma hur LDAP-katalogserverns data ska mappas till Google-kontots data och ha en tydlig bild av hur varje användare, grupp och resurs ska synkroniseras. Du kan ställa in denna mappning på en platt hierarki, en automatisk en-till-en-synkronisering eller en manuell uppsättning anpassade regler. Mer information finns i Vad synkroniseras?

Exempelscenario

Som Google-administratör för Exempelorganisation bestämmer du att den befintliga organisationshierarkin på LDAP-servern ska kopieras till Google-kontot och du identifierar de organisationsenheter som ska synkroniseras.

Du bestämmer att organisationen ska synkroniseras:

  • Organisationsenheter
  • Användare
  • Alias
  • Grupper (e-postlistor)
  • Delade kontakter
  • Kalenderresurser

E-postlistorna på LDAP-katalogservern använder attributet medlem för att lagra medlemmar från varje e-postlista och medlemsattributet innehåller det unika namnet för e-postlistans medlemmar, inte deras e-postadresser. Som GCDS-administratör noterar du detta attribut och att det är ett referensattribut, inte ett bokstavligt attribut.

Eftersom LDAP-användarprofilinformationen på LDAP-servern inte har ett standardformat mellan organisationerna, beslutar du som Google-administratör att inte synkronisera informationen.

På LDAP-servern skapar du ett anpassat attribut och fyller på attributet med ett slumpgenererat engångslösenord. I Google-kontot konfigurerar du en e-postsammanslagning för att skicka lösenorden till användarna tillsammans med information om hur de aktiverar sina konton.

Det finns vissa användare i entreprenörens organisationsenhet som inte längre ingår i Exempelorganisation och inte ska synkroniseras. Du tittar på listan och noterar att alla av dem matchar ett reguljärt uttryck eftersom samtliga användaradresser börjar med ”inaktuell”. Du skapar slutligen undantag för dessa användare på Google-domänen.


Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
1206707461119832755
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false