您有用户在 Google 网域中的特定属性与 LDAP 中对应的属性不同吗?要保留这些不同属性吗?如何确保 Google Cloud Directory Sync (GCDS) 不会在同步期间更改用户的属性?
解决方法是设置两种排除规则,分别针对 LDAP 数据和 Google 网域数据。
示例场景
假设用户 fred@solarmora.com 同时存在于 LDAP 服务器和 Google 网域中:
- Google 网域 - Fred 在“测试用户”下级单位中。
- LDAP 服务器 - Fred 在“财务”单位部门中。
- 搜索规则 - 有一个搜索规则是将“财务”单位部门中的用户放入 Google 网域中的“财务”下级单位。
- 排除规则 - 有一个针对“/Test Users”的 Google 单位完整路径排除规则,Fred 就是该单位中的一员。
执行同步时,GCDS 会因为“/Test Users”排除规则而忽略 Google 网域中的 fred@solarmora.com,但会在 LDAP 结果中将其找到,因此会尝试创建该用户。由于 Fred 已存在于 Google 网域中,因此系统不会重新创建此用户,但会执行其他操作(前提是 Fred 被成功创建)。例如,将 Fred 放入“财务”下级单位中。
为避免这种情况发生,您需要从 LDAP 服务器和 Google 网域中均排除该用户。为此,您可以添加 LDAP 排除规则,与 Google 网域排除规则搭配使用。在此示例中,您应按电子邮件地址添加 LDAP 排除规则。有关详情,请参阅结合使用排除规则和 GCDS。
针对多个用户的最佳方法
使用 GCDS 时,通过 LDAP 服务器可更轻松地管理多个用户。
如要将一组用户放入 Google 网域中的特殊单位部门(不论这些用户在 LDAP 服务器中属于哪个单位部门),您可以采用以下最佳方法:
- 用自定义属性或群组成员身份在 LDAP 服务器中为这些用户添加标记。
- 创建仅针对这些用户的搜索规则。例如,使用专用搜索自定义属性或群组成员身份名称 ("memberOf=<群组名称>") 的规则。
- 将搜索规则映射到特殊单位部门。
注意:您可以为相应搜索规则设置较高的优先级,这样一来,如果用户符合多个搜索规则,系统会将其会放入特殊单位部门中。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
