您可以使用排除規則或查詢,控管 Google Cloud Directory Sync (GCDS) 要審查及更新的內容。
排除規則和查詢之間的差異
- 只要設定排除規則,就能讓同步處理作業略過 LDAP 目錄資料或 Google 帳戶資料,也可以兩者皆略過。舉例來說,如果您使用排除規則略過某位使用者、設定檔或群組,GCDS 在進行同步處理時會將這些項目視為不存在。
- 如要避免 GCDS 將使用者刪除或停權,您可以透過 Google 帳戶資料執行查詢,將 Google 使用者從同步處理作業中排除。如果您有多位使用者,比起使用 GCDS 載入所有使用者,接著使用排除規則篩選您不想同步處理的使用者,使用查詢會更有效率。
使用規則和查詢的時機
| 資料類型 | 建議使用... | 如果無法這麼做,請使用... |
|---|---|---|
| LDAP 目錄伺服器中您不希望在自己的 Google 帳戶中存在的實體 | LDAP 搜尋規則 | LDAP 排除規則 |
| 在您 Google 帳戶中您不希望對方遭停權或刪除的使用者 | 使用者搜尋查詢 | 如果查詢語法不支援您需要的篩選器類型,請使用 Google 排除規則。 |
| 應該保留在您的 Google 帳戶中,但不存在於 LDAP 目錄伺服器中的使用者以外的實體 (例如群組、機構單位或日曆資源) | Google 排除規則 |
新增 Google 使用者搜尋查詢
- 在「設定管理員」中,依序按一下「Google 網域設定」
「排除規則」。
- 針對使用者搜尋查詢,請按照「搜尋使用者」中的搜尋指南新增規則。
使用排除規則
新增、刪除規則或變更規則的優先順序如何新增規則:
- 在「排除規則」分頁中,按一下 [新增排除規則]。
- 完成下列選項的設定:
- Type (類型):在選單中指定要排除的資料類型。
- 比對類型:指定篩選器使用的規則類型。從選單中選取下列任一選項:
- 完全比對:排除與規則完全相符的資料。
- 子字串比對:排除子字串中包含規則文字的資料。
- 規則運算式:排除與指定的規則運算式相符的資料。
- 排除規則:輸入規則要使用的比對字串或規則運算式。
- 按一下「確定」。
系統會根據規則在表格中的排列順序依序套用規則。如要變更排序,請依照下列步驟操作:
- 在「排除規則」分頁中,按一下所需規則。
- 點選上下箭頭,即可提高或降低優先順序。
如何刪除規則:
- 在「排除規則」分頁中,按一下所需規則。
- 按一下 [X]。
如果您的 LDAP 目錄伺服器中有部分資料與搜尋規則相符,但您不想將這類資料新增到 Google 網域中,請使用 LDAP 排除規則,將這類資料排除在同步處理作業的範圍之外。
機構單位
| 排除規則的目的 | 如果您的 LDAP 伺服器中含有與搜尋規則相符的機構單位,但您不想將這些機構單位新增到 Google 網域中,可以使用排除規則將其排除。 |
| 排除類型 | 機構單位 DN
根據欲排除機構單位的辨別名稱 (DN) 制訂排除規則。 |
| 範例 | 由於兩間辦公室整併,部分機構單位因此消失;這些不復存在的機構單位,DN 都會包含「stpaul」:
|
使用者
| 排除規則的目的 | 如果您的 LDAP 目錄伺服器中含有與搜尋規則相符的使用者,但您不想將這些使用者新增到 Google 網域中,可以使用排除規則將他們排除。 |
| 排除類型 | 指定要排除的 LDAP 資料。
|
| 範例 | 為選擇退出 Google 網域及不應進行同步處理的每位使用者分別新增排除規則。第一條規則:
第二條規則:
|
網路論壇
| 排除規則的目的 | 如果您的 LDAP 伺服器中含有與郵寄清單規則相符的項目,但您不想在 Google 網域中將這些項目視為郵寄清單,可以透過排除規則將其排除。 |
| 排除類型 | 指定要排除的 LDAP 資料。
|
| 範例 | 由於兩間鄰近的辦公室整併,因此部分郵寄清單不再使用;所有停止使用的清單,地址中都會包含「stpaul」。
|
使用者個人資料
| 排除規則的目的 | 如果您的 LDAP 伺服器中含有您不想同步處理至 Google 網域的使用者個人資料內容,您可以使用排除規則將這些資料排除。 |
| 範例 | 印表機已列為 LDAP 使用者,且符合指定的 LDAP 查詢。這些印表機的名稱都包含「printer」一詞,因此可建立比對這個子字串的規則。
|
共用聯絡人
| 排除規則的目的 | 如果您的 LDAP 目錄伺服器中含有與搜尋規則相符的聯絡人,但您不想將這些聯絡人新增到 Google 網域中,可以使用排除規則將他們排除。 |
| 範例 | LDAP 伺服器中有大約 500 位測試使用者,但這些使用者僅供內部測試使用。所有測試使用者都位於相同網域中,並根據下列名稱格式命名:internal-testX (X 為數字)。
|
日曆資源
| 排除規則的目的 | 如果您的 LDAP 伺服器中含有與日曆資源搜尋規則相符的項目,但您不想將這些項目新增為 Google 網域中的日曆資源,可以使用排除規則將其排除。 |
| 排除類型 | 指定要排除的 LDAP 資料。
如要一併排除資源 ID 和資源顯示名稱,請建立 2 項排除規則。 |
| 範例 | 印表機已列為 LDAP 資源,且符合指定的 LDAP 查詢。所有印表機的名稱都包含「printer」一詞。
|
如果您的 Google 帳戶中有實體 (例如使用者或群組) 不存在於 LDAP 網域,但您想將這些實體保留在 Google 帳戶內,請使用 Google 網域排除規則,讓系統在進行同步處理時保留這些 Google 實體。步驟如下:
- 按一下 [Google Domain configuration] (Google 網域設定) 分頁標籤。
- 在「排除規則」分頁中,按一下 [新增排除規則]。
- 在「類型」下方的清單中選取下列選項:
- 機構完整路徑:排除機構及其使用者
- 使用者電子郵件地址:排除使用者
- 別名電子郵件地址:排除使用者別名
- 群組電子郵件地址:排除群組
- 群組成員電子郵件地址:排除群組成員
- 使用者個人資料主要同步金鑰:根據同步金鑰排除使用者個人資料
- 共用聯絡人主要同步金鑰:根據同步金鑰排除共用聯絡人
- 日曆資源 ID:根據 ID 排除資源
- 日曆資源顯示名稱:根據名稱排除資源
- 日曆資源類型:根據類別排除資源
- 在比對類型部分選取:
- 完全比對:比對完全一致的關鍵字
- 子字串比對:比對部分關鍵字
- 規則運算式:使用規則運算式比對關鍵字
- 點選 [確定]。
如果 Google 和 LDAP 網域含有您不想在 Google 帳戶中更新的實體,請執行下列 2 項操作:
- 利用 Google 網域排除規則將這些實體排除在 Google 帳戶之外。
- LDAP 網域排除規則,藉此將該實體排除在 LDAP 網域之外。
系統執行同步處理作業時會略過這些實體,將其原封不動地保留在 Google 帳戶中。
舉例來說,您可能會需要保留與 LDAP 網域使用者屬性不同的 Google 帳戶使用者屬性 (例如機構單位)。在這種情況下,您可以使用以上 2 項排除規則,確保這類屬性不會在同步處理過程中改變。詳情請參閱在同步處理時保留不同的使用者屬性。
排除規則範例
LDAP 使用者排除規則在這個範例中,印表機已列為 LDAP 使用者,且符合 LDAP 查詢。不過,您仍想確保系統不會將印表機辨識為 Google 使用者。在 LDAP 目錄中,所有印表機的名稱都包含「printer」一詞,因此您可以建立比對這個子字串的規則。
- Type (類型):Primary address (主要地址)
- Match type (比對類型):Substring Match (子字串比對)
- Exclusion Rule (排除規則):printer
由於部分會議室已經改為辦公室,您想確保系統不會將這些辦公室匯入為日曆資源。在這種情況下,請為每間會議室分別新增規則。
第一條規則:
- Type (類型):Calendar Resource Display Name (日曆資源顯示名稱)
- Match type (比對類型):Substring Match (子字串比對) 或 Exact Match (完全比對)
- Exclusion Rule (排除規則):ConferenceRoom-BlueSkyMontana
第二條規則:
- Type (類型):Calendar Resource Display Name (日曆資源顯示名稱)
- Match Type (比對類型):Substring Match (子字串比對) 或 Exact Match (完全比對)
- Exclusion Rule (排除規則):ConferenceRoom-BigPlains
LDAP 伺服器中有大約 500 個測試郵寄清單,但這些郵寄清單僅供內部載入測試使用。所有測試使用者都位於相同網域中,並根據下列名稱格式命名:internal-testX (X 為數字)。
- Type (類型):Group Address (群組地址)
- Match type (比對類型):Regular Expression (規則運算式)
- Exclusion Rule (排除規則):internal-test[0-9]*@example.com
如有使用者未列在您的 LDAP 目錄伺服器中,GCDS 會將該使用者從您的 Google 使用者清單和 Google 網路論壇中刪除。針對不在 LDAP 目錄中的使用者帳戶和群組,請建立排除規則,讓這類使用者和群組保留在 Google Workspace 或 Cloud Identity 帳戶中。根據預設,系統會排除 Google 管理員帳戶,因此您不須為這類帳戶建立排除規則。
方法 1:使用機構單位保留使用者
將使用者帳戶移至專屬的機構單位,並在「Configuration Manager」(設定管理員) 的 [Google domain configuration] (Google 網域設定) 設定中為該機構建立排除規則。
- Type (類型):Organization Complete Path (機構完整路徑)
- Match type (比對類型):Exact Match (完全比對)
- Exclusion Rule (排除規則):/OUPath/MyExcludedOU
方法 2:使用電子郵件地址
在「Configuration Manager」(設定管理員) 的 [Google domain configuration] (Google 網域設定) 設定中建立電子郵件地址比對排除規則。
- Type (類型):User Email Address (使用者電子郵件地址) 或 Group address (群組地址)
- Match type (比對類型):Exact Match (完全比對)
- Exclusion Rule (排除規則):<使用者>@example.com
方法 3:排除所有其他機構
如果想將 LDAP 使用者同步至特定頂層機構單位及其子機構,您就必須排除所有其他頂層機構單位。下列規則運算式會將開頭為「MyIncludedOU」以外的頂層機構單位全數排除。使用規則運算式時,請勿在開頭加上斜線。
- Type (類型):Organization Complete Path (機構完整路徑)
- Match type (比對類型):Regular Expression (規則運算式)
- Exclusion Rule (排除規則):^((?!MyIncludedOU).)*$
方法 4:使用者設定檔主要同步金鑰
您可以使用這個金鑰指定要從同步處理範圍排除的使用者地址、群組電子郵件地址或成員地址。排除的成員地址並不會從 Google 網域中的群組移除。
- Type (類型):使用者設定檔的主要同步金鑰
- 比對類型:完全比對
- 排除規則:luka@solarmora.com
在這個例子中,您可以指定要從同步處理範圍排除的使用者設定檔。
- Type (類型):同步金鑰
- 比對類型:完全比對
- 排除規則:luka@solarmora.com
如果您選擇將使用者和群組 LDAP 電子郵件地址中的網域名稱替換成這個網域名稱,請勿在排除規則中加入 @solarmora.com 這個網域名稱。請使用 luka,而不要使用 luka@solarmora.com。
相關主題
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。
