請先選擇 Google 驗證方法,再安裝 Password Sync。我們建議您使用服務帳戶進行驗證。如要透過指令列安裝 Password Sync,就必須使用服務帳戶。
如要採用三足式 OAuth 驗證方法,您必須使用含有桌面體驗的 Microsoft Windows Server。如果您的網域控制站超過 5 個,則必須分別授權給每個網域控制站,這往往相當費時。建議您改用服務帳戶進行驗證。
目前進度:步驟 2 (共 7 個步驟)
方法 1:使用服務帳戶進行驗證
服務帳戶屬於應用程式,而非個別使用者。應用程式會代表服務帳戶傳送要求給 Google API,因此使用者不會直接參與驗證程序。
使用服務帳戶的優點:
- 服務帳戶可由多位網域管理員進行管理及監控,因此即使其中一位管理員有所變動,Password Sync 也不會受到影響。
- 服務帳戶沒有更新權杖數量上限,三足式 OAuth 則有相關限制。
- 系統會以 JSON 檔案形式下載服務帳戶憑證,可用於多個網域控制站。您不必為每個網域控制站重複執行驗證程序。
- 使用服務帳戶進行驗證時,不必用到網路瀏覽器。您可以在使用 Windows Server Core 時設定 Password Sync。
- 您可以使用指令列安裝及設定 Password Sync。
使用服務帳戶的缺點:
- 您必須在 Google Cloud 中建立專案,所以設定較為複雜。
方法 2:使用三足式 OAuth 進行驗證
使用三足式 OAuth 時,應用程式會代表使用者傳送要求給 Google API。不過,三足式 OAuth 通常會要求每位使用者將資料存取權限授予應用程式,這點與服務帳戶不同。在 Password Sync 設定期間,網域管理員會代表所有使用者執行這個步驟。接著,為了讓 Password Sync 順利同步處理網域中每位使用者的密碼,網域管理員必須在每個網域控制站授權給 Password Sync。
使用三足式 OAuth 的優點:
- 三足式 OAuth 驗證方法操作簡單,只需完成 1 個設定步驟。
使用三足式 OAuth 的缺點:
- 必須使用含有桌面體驗的 Windows Server 才能採用這個方法,不適用於 Windows Server Core。
- 如果網域擁有多個網域控制站,可能會超過權杖數量上限。您必須分別授權給每個網域控制站,但這往往相當費時。
- 三足式 OAuth 會與單一管理員帳戶連結,如果該帳戶停用或遭到刪除,Password Sync 將無法運作。
- 使用三足式 OAuth 時,無法在 Google Cloud 中監控使用情況,這點與服務帳戶不同。
- 使用三足式 OAuth 時,無法透過指令列安裝及設定 Password Sync。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。