使用者在 Google 網域中的屬性和 LDAP 伺服器中的屬性有所不同嗎?您要保留不同的屬性嗎?您要如何確保 Google Cloud Directory Sync (GCDS) 在同步處理過程中不會變更使用者的屬性呢?
解決方法是使用兩項排除規則,分別針對 LDAP 資料和 Google 網域資料。
示範案例
在以下案例中,使用者 fred@solarmora.com 同時存在於 LDAP 伺服器和 Google 網域中:
- Google 網域 - Fred 位於「測試使用者」子機構中。
- LDAP 伺服器 - Fred 位於「財務」機構單位中。
- 搜尋規則 - 將「財務」機構單位中的使用者放入 Google 網域的「財務」子機構。
- 排除規則 - Google 機構完整路徑排除規則會略過 Fred 所在的「/Test Users」。
執行同步處理時,GCDS 會因「/Test Users」排除規則而在 Google 網域略過 fred@solarmora.com,但會在 LDAP 搜尋結果中找到 fred@solarmora.com,進而嘗試建立這位使用者。由於 Google 網域中已經有 Fred,因此不會重新建立這位使用者,但會因 Fred 已成功建立而執行其他動作,例如將 Fred 放入「財務」子機構。
如要避免以上情況,您必須新增 LDAP 排除規則,與 Google Apps 排除規則搭配使用,「同時」將使用者從 LDAP 伺服器和 Google 網域中排除。在此案例中,您必須依電子郵件地址新增 LDAP 排除規則。詳情請參閱使用 GCDS 時搭配排除規則。
處理多位使用者的最佳做法
使用 GCDS 時,善用 LDAP 伺服器可讓您更容易管理多位使用者。
如果您要將特定一群使用者放入 Google 網域中的特殊機構單位 (不論這些使用者在 LDAP 伺服器的所屬機構單位為何),建議您採取下列最佳做法:
- 在 LDAP 伺服器中為這些使用者標上自訂屬性或群組成員身分。
- 建立只會比對出這些使用者的搜尋規則,例如專門搜尋自訂屬性或群組成員身分名稱 (「memberOf=<群組名稱>」) 的規則。
- 將搜尋規則對應到特殊機構單位。
注意:您可以為這項搜尋規則設定較高的優先順序。這樣一來,如有多項搜尋規則都找到這些者,可確保這些使用者一定會被置於目標特殊機構單位。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。
