使用排除规则和查询来省略数据

您可以使用排除规则或查询来控制 Google Cloud Directory Sync (GCDS) 可以查看和更新哪些内容。

排除规则和查询之间的区别

  • 使用排除规则,您可以在同步时省略 LDAP 目录数据和/或 Google 帐号数据。举例来说,如果您使用排除规则来省略某个用户、个人资料或群组,那么 GCDS 的行为就像同步过程中不存在该用户、个人资料或群组一样。
  • 要防止 GCDS 删除或暂停用户,您可以使用包含 Google 帐号数据的查询来从同步中排除 Google 用户。如果您有大量用户,那么查询效率要高于 GCDS 加载所有用户,然后使用排除规则来过滤您不想同步的用户。

规则和查询的适用情形

数据类型 请考虑使用… 如果不行,请使用…
LDAP 目录服务器中不希望在自己的 Google 帐号中存在的实体 LDAP 搜索规则 LDAP 排除规则
您 Google 帐号中不希望暂停或删除的用户 用户搜索查询 如果查询语法不支持您所需的过滤条件类型,请使用 Google 排除规则
应保留在 Google 帐号中但 LDAP 目录服务器中不存在的用户以外的实体(例如群组、组织部门或日历资源) Google 排除规则  

添加 Google 用户搜索查询

  1. 配置管理器中,点击 Google 网域配置 接着点击 排除规则
  2. 对于用户搜索查询,请按照搜索用户中的搜索指南添加规则。

使用排除规则

打开此部分  |  全部收起并转至页首

添加、删除或更改规则的优先级

如需添加规则,请执行以下操作:

  1. 在“Exclusion Rules”(排除规则)标签页上,点击 Add Exclusion Rule(添加排除规则)。
  2. 完成以下选项的设置:
    • Type(类型):从下拉菜单中指定要排除的数据类型。
    • Match type(匹配类型):指定过滤器使用的规则类型。根据需要,从菜单中选择相应选项:
      • Exact match(完全匹配):数据必须与规则完全匹配才能被排除。
      • Substring match(子字符串匹配):数据中必须包含规则的文本,即规则的文本是数据的一个子字符串,这样数据才能被排除。
      • Regular expression(正则表达式):数据必须匹配指定的正则表达式才能被排除。
    • 排除规则 - 为规则输入匹配字符串或正则表达式。
  3. 点击确定

系统会按照规则在表格中的顺序来应用这些规则。要更改顺序,请执行以下操作:

  1. Exclusion Rules(排除规则)标签页上,点击相应规则。
  2. 点击向上或向下箭头以提高或降低优先级。

如需删除规则,请执行以下操作:

  1. Exclusion Rules(排除规则)标签页上,点击相应规则。
  2. 点击 X
使用针对 LDAP 数据的排除规则

如果您的 LDAP 目录服务器中有数据与您的搜索规则相匹配,但这些数据不应添加到 Google 网域中,则可以使用 LDAP 排除规则。这样在同步时就可以将这些数据排除在外。

组织部门

排除规则的用途 您的 LDAP 服务器中有组织部门与您的搜索规则相匹配,但您不希望将这些组织部门添加到 Google 网域中。
排除类型 组织部门 DN

根据要排除的组织部门的标识名 (DN) 来执行排除规则。

示例 由于两个办公室合并,某些组织部门已不再使用。不再使用的组织部门的 DN 中均包含“stpaul”字样。
  • Match type(匹配类型):Substring Match(子字符串匹配)
  • Rule(规则):stpaul

用户

排除规则的用途 您的 LDAP 目录服务器中有用户与您的搜索规则相匹配,但您不希望相应用户被添加到 Google 网域中。
排除类型 指定要排除的 LDAP 数据。
  • Primary Address(主地址):排除匹配此规则的主地址。
  • Alias Address(别名地址):排除匹配此规则的别名地址。
如果您希望同时排除主地址和别名地址,请创建两个排除规则。
示例 为已选择退出 Google 网域的每位用户分别添加一条规则,以在同步时将这些用户排除在外。第一条规则:
  • Exclusion type(排除类型):Primary Address(主地址)
  • Match type(匹配类型):Substring Match(子字符串匹配)或 Exact Match(完全匹配)
  • Rule(规则):atif

第二条规则:

  • Exclusion type(排除类型):Primary Address(主地址)
  • Match type(匹配类型):Substring Match(子字符串匹配)或 Exact Match(完全匹配)
  • Rule(规则):svetlana

群组

排除规则的用途 您的 LDAP 服务器中有条目与邮寄名单规则相匹配,但您不希望在 Google 网域中也将这些条目作为邮寄名单。
排除类型 指定要排除的 LDAP 数据。
  • Group Name(群组名称):排除名称与该规则匹配的群组。
  • Group Address(群组地址):排除电子邮件地址与该规则匹配的群组。
  • Member Address(成员地址):从群组中排除主电子邮件地址与该规则匹配的用户。
示例 由于两个临近的办公室合并,某些邮寄名单已不再使用。不再使用的列表的地址中均包含“stpaul”字样。
  • Match type(匹配类型):Substring Match(子字符串匹配)
  • Rule(规则):stpaul

用户个人资料

排除规则的用途 您的 LDAP 服务器中有一些用户个人资料信息是您不希望同步到 Google 网域的。
示例 有些打印机被列为 LDAP 用户,并且与指定的 LDAP 查询相匹配。所有打印机的名称中均包含“printer”一词,因此您可以创建查找此子字符串的规则。
  • Match type(匹配类型):Substring Match(子字符串匹配)
  • Rule(规则):printer

共享的联系人

排除规则的用途 您的 LDAP 目录服务器中有联系人与您的搜索规则相匹配,但您不希望相应联系人被添加到 Google 网域中。
示例 LDAP 服务器中大约列出了 500 个测试用户,但这些用户仅供内部测试之用。所有测试用户都遵循相同的名称格式:internal-testX,其中 X 表示数字,并且所有测试用户都位于同一网域中。
  • Match type(匹配类型):Regular Expression(正则表达式)
  • Rule(规则):internal-test[0-9]*@example.com

日历资源

排除规则的用途 您的 LDAP 服务器中有内容与您的日历资源搜索规则相匹配,但您不希望将这些内容作为日历资源添加到 Google 网域中。
排除类型 指定要排除的 LDAP 数据。
  • Calendar Resource Id(日历资源 ID):如果日历资源的 LDAP 日历资源属性中指定的日历资源 ID 属性与此格式匹配,GCDS 就会排除该日历资源。
  • Calendar Resource Display Name(日历资源显示名):如果日历资源的 LDAP 日历资源属性中指定的日历资源显示名属性与此格式匹配,GCDS 就会排除该日历资源。

如果您希望同时排除资源 ID 和资源显示名,请创建两个排除规则。

示例 有些打印机被列为 LDAP 资源,并且与指定的 LDAP 查询相匹配。所有打印机的名称中均包含“printer”一词。
  • Exclusion type(排除类型):Calendar Resource Id(日历资源 ID)
  • Match type(匹配类型):Substring Match(子字符串匹配)
  • Rule(规则):printer
使用针对 Google 数据的排除规则

您的 Google 帐号中可能有实体(例如用户或群组)不在您的 LDAP 网域中,但您想在 Google 帐号中保留这些实体。这种情况下,请使用 Google 网域排除规则,在同步时保留这些 Google 实体:

  1. 点击 Google Domain Configuration(Google 网域配置)标签页。
  2. 在“Exclusion Rules”(排除规则)标签页上,点击 Add Exclusion Rule(添加排除规则)。
  3. Type(类型)下方的列表中,根据需要,选择相应选项:
    • Organization Complete Path(组织完整路径):排除组织及其用户
    • 要排除用户的 User Email Address(用户电子邮件地址)
    • Alias Email Address(别名电子邮件地址):排除用户别名
    • Group Email Address(群组电子邮件地址):排除群组
    • Group Member Email Address(群组成员电子邮件地址):排除群组成员
    • User Profile Primary Sync Key(用户个人资料的主同步密钥):根据同步密钥排除用户个人资料
    • Shared Contact Primary Sync Key(共享联系人的主同步密钥):根据同步密钥排除共享的联系人
    • Calendar Resource ID(日历资源 ID):根据 ID 排除资源
    • Calendar Resource Display Name(日历资源显示名):根据名称进行排除
    • Calendar Resource Type(日历资源类型):根据类别进行排除
  4. 对于匹配类型,请选择:
    • Exact Match(完全匹配),匹配完全一致的关键字
    • Substring Match(字符串匹配),匹配部分关键字
    • Regular Expression(正则表达式),使用正则表达式匹配关键字
  5. 点击 OK(确定)。
在 Google 数据中保留不同的属性

如果您不想在 Google 帐号中更新 Google 网域和 LDAP 网域内的部分实体,可以使用两条排除规则:

  • 一条 Google 网域排除规则,用于将此类实体从 Google 帐号中排除。
  • 从 LDAP 网域中排除实体的 LDAP 网域排除规则。

这样,当您运行同步时,这些实体就不会同步,而是在 Google 帐号中保持不变。

例如,您可能需要在 Google 帐号中保持一项用户属性(例如组织部门)不变,但该属性在 Google 帐号中的值与在 LDAP 网域中的值不同。这种情况下,就可以使用两条排除规则来确保这类属性在同步过程中保持不变。有关详情,请参阅在同步期间保留不同的用户属性

排除规则示例

打开此部分  |  全部收起并转至页首

LDAP 用户排除规则

在本例中,有些打印机被列为 LDAP 用户,并且与 LDAP 查询相匹配。不过,您想要确保这些打印机不被识别为 Google 用户。所有打印机在 LDAP 目录名称中均包含“printer”一词,因此您可以创建查找该子字符串的规则。

  • Type(类型):Primary address(主地址)
  • Match type(匹配类型):Substring Match(子字符串匹配)
  • Exclusion Rule(排除规则):printer
LDAP 日历资源排除规则

有些会议室变为了办公室。因此,您想要确保它们不会被作为日历资源导入。这种情况下,可以为每个会议室分别添加一条规则。

第一条规则:

  • Type(类型):Calendar Resource Display Name(日历资源显示名)
  • Match type(匹配类型):Substring Match(子字符串匹配)或 Exact Match(完全匹配)
  • Exclusion Rule(排除规则):ConferenceRoom-BlueSkyMontana

第二条规则:

  • Type(类型):Calendar Resource Display Name(日历资源显示名)
  • Match type(匹配类型):Substring Match(子字符串匹配)或 Exact Match(完全匹配)
  • Exclusion Rule(排除规则):ConferenceRoom-BigPlains
LDAP 群组排除规则

LDAP 服务器中大约列出了 500 个测试用的邮寄名单,但它们仅用于内部负载测试。所有测试用户都位于同一网域中,并使用相同的名称格式:internal-testX,其中 X 为数字。

  • Type(类型):Group Address(群组地址)
  • Match type(匹配类型):Regular Expression(正则表达式)
  • Exclusion Rule(排除规则):internal-test[0-9]*@example.com
Google 用户排除规则

如果某位用户未在您的 LDAP 目录服务器中列出,GCDS 会从您的 Google 用户列表和 Google 网上论坛中删除该用户。对于不在 LDAP 目录中的用户帐号和群组,请使用排除规则,让这类用户和群组保留在您的 Google Workspace 或 Cloud Identity 帐号中。默认情况下,系统会排除 Google 管理员帐号,因此您无需为这类帐号创建排除规则。

方法 1:使用组织部门保留用户

将用户帐号移至专门的组织部门,并在配置管理器的 Google 网域配置设置中为该组织部门创建排除规则。

  • Type(类型):Organization Complete Path(组织完整路径)
  • Match type(匹配类型):Exact Match(完全匹配)
  • Exclusion Rule(排除规则):/OUPath/MyExcludedOU

方法 2:使用电子邮件地址

在配置管理器的 Google 网域配置设置中创建电子邮件地址匹配排除规则。

  • Type(类型):User Email Address(用户电子邮件地址)或 Group address(群组地址)
  • Match type(匹配类型):Exact Match(完全匹配)
  • Exclusion Rule(排除规则):<用户名>@example.com

方法 3:排除所有其他组织

如果您希望将 LDAP 用户同步到某个顶级组织部门及其下级组织,则需要排除所有其他顶级组织部门。以下正则表达式会排除非 MyIncludedOU 开头的所有顶级组织部门。使用正则表达式时,请勿在开头添加斜杠。

  • Type(类型):Organization Complete Path(组织完整路径)
  • Match type(匹配类型):Regular Expression(正则表达式)
  • Exclusion Rule(排除规则):^((?!MyIncludedOU).)*$

方法 4:用户个人资料的主同步密钥

您可以使用此方法来指定要从同步范围中排除的用户电子邮件地址、群组电子邮件地址或成员电子邮件地址。排除的成员电子邮件地址不会从 Google 网域中的群组移除。

  • Type(类型):User profile primary sync key(用户个人资料主要同步密钥)
  • Match type(匹配类型):Exact Match(完全匹配)
  • 排除规则 - luka@solarmora.com
用户个人资料排除规则

在本例中,您可以指定要从同步范围中排除的用户个人资料。

  • Type(类型):Sync Key(同步密钥)
  • Match type(匹配类型):Exact Match(完全匹配)
  • 排除规则 - luka@solarmora.com

    如果您希望将用户或群组的 LDAP 电子邮件地址中的域名替换为此域名,请勿在排除规则中添加域名 @solarmora.com。请使用 luka,而不是 luka@solarmora.com

相关主题


“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单