2. 選擇驗證方法

請先選擇 Google 驗證方法，再安裝 Password Sync。我們建議您使用服務帳戶進行驗證。如要透過指令列安裝 Password Sync，就必須使用服務帳戶。

如要採用三足式 OAuth 驗證方法，您必須使用含有桌面體驗的 Microsoft Windows Server。如果您的網域控制站超過 5 個，則必須分別授權給每個網域控制站，這往往相當費時。建議您改用服務帳戶進行驗證。

目前進度：步驟 2 (共 7 個步驟)

方法 1：使用服務帳戶進行驗證

服務帳戶屬於應用程式，而非個別使用者。應用程式會代表服務帳戶傳送要求給 Google API，因此使用者不會直接參與驗證程序。

使用服務帳戶的優點：

• 服務帳戶可由多位網域管理員進行管理及監控，因此即使其中一位管理員有所變動，Password Sync 也不會受到影響。
• 服務帳戶沒有更新權杖數量上限，三足式 OAuth 則有相關限制。
• 系統會以 JSON 檔案形式下載服務帳戶憑證，可用於多個網域控制站。您不必為每個網域控制站重複執行驗證程序。
• 使用服務帳戶進行驗證時，不必用到網路瀏覽器。您可以在使用 Windows Server Core 時設定 Password Sync。
• 您可以使用指令列安裝及設定 Password Sync。

使用服務帳戶的缺點：

• 您必須在 Google Cloud 中建立專案，所以設定較為複雜。

方法 2：使用三足式 OAuth 進行驗證

使用三足式 OAuth 時，應用程式會代表使用者傳送要求給 Google API。不過，三足式 OAuth 通常會要求每位使用者將資料存取權限授予應用程式，這點與服務帳戶不同。在 Password Sync 設定期間，網域管理員會代表所有使用者執行這個步驟。接著，為了讓 Password Sync 順利同步處理網域中每位使用者的密碼，網域管理員必須在每個網域控制站授權給 Password Sync。

使用三足式 OAuth 的優點：

• 三足式 OAuth 驗證方法操作簡單，只需完成 1 個設定步驟。

使用三足式 OAuth 的缺點：

• 必須使用含有桌面體驗的 Windows Server 才能採用這個方法，不適用於 Windows Server Core。
• 如果網域擁有多個網域控制站，可能會超過權杖數量上限。您必須分別授權給每個網域控制站，但這往往相當費時。
• 三足式 OAuth 會與單一管理員帳戶連結，如果該帳戶停用或遭到刪除，Password Sync 將無法運作。
• 使用三足式 OAuth 時，無法在 Google Cloud 中監控使用情況，這點與服務帳戶不同。
• 使用三足式 OAuth 時，無法透過指令列安裝及設定 Password Sync。