GCDS 常見問題

1. 請確認您執行的是 GCDS 4.7.14 以上版本。

   詳情請參閱「更新 GCDS」。

2. 在具有 GUI 的電腦上授權 GCDS。

   詳情請參閱「授權給您的 Google 帳戶」。

3. 建立並儲存 XML 檔案。
4. 在同一部電腦上，使用指令列執行使用 -exportkeys 參數的 upgrade-config 工具。

   範例：upgrade-config -exportkeys encryption key file [<密碼>]

   在這個範例中，系統會將金鑰匯出至名為「encryption key file」(加密金鑰檔案) 的檔案。您可以自行選擇是否要加上密碼。

5. 將加密金鑰檔案和設定檔複製到沒有 GUI 的電腦。
6. 在沒有 GUI 的電腦上，使用指令列執行使用 -importkeys 參數的 upgrade-config 工具。

   範例：upgrade-config -importkeys <檔案名稱>

   重要事項：-importkeys 參數會移除電腦上所有已授權的 GCDS 設定。

7. 視需要輸入您在步驟 4 設定的密碼。

   您應該會收到確認訊息，顯示系統已成功匯入金鑰。

提示：如需更多選項，請在指令列中輸入 upgrade-config -help。

1. 如果您認為有 (或不確定是否有) 待處理的使用者電子郵件地址變更作業 (即重新命名使用者)，請選擇下列其中一種做法：
   • 在舊伺服器上執行同步處理作業。
   • 將定位點分隔值 (TSV) 檔案複製到新伺服器。

     您可以在設定檔中搜尋 .tsv，找到 TSV 檔案的名稱和位置。

   • 在新伺服器上安裝 GCDS。如需操作說明，請參閱「下載並安裝 GCDS」。
2. 將設定檔複製到新伺服器。
3. 在新伺服器的「設定管理員」中開啟設定檔。
4. 為您的 Google 帳戶重新授權 GCDS。如需操作說明，請參閱「授權給您的 Google 帳戶」。
5. 在「LDAP 設定」頁面中更新 LDAP 密碼。如需操作說明，請參閱「LDAP 連線設定」。
6. 在「通知」頁面中更新 SMTP 密碼。如需操作說明，請參閱通知屬性。
7. 執行模擬同步處理作業。
8. 檢查同步處理作業，確定沒有任何未預期的變更項目。
9. 執行完整同步處理作業。

   同步處理作業結束後，來自舊伺服器的 TSV 檔案就會完成更新。如果您未轉移 TSV 檔案，系統則會建立新檔案。

如果在執行 GCDS 時遇到憑證問題，請參閱「排解憑證相關問題」。

GCDS 會使用各種 API 將資料上傳到您的 Google 帳戶，並向此帳戶傳送要求，也會使用 OAuth 來驗證 API。此外，GCDS 還會使用 SMTP 傳送同步處理報告。GCDS 使用的 API 如下：

• Directory API：管理 Chrome 裝置、群組、群組別名、成員、機構單位、使用者和使用者別名，
• Domain Shared Contacts API：建立、刪除及更新外部聯絡人的共用聯絡人資訊。

相關變更最多可能需要 8 天才會在 Google 帳戶中生效。原因牽涉到 GCDS 如何快取資料。

GCDS 最多會將 Google 帳戶的資料快取保留 8 天，視快取資料大小而定，也可能更快清除快取。但在未清除快取的情況下，透過管理控制台或其他 API 用戶端直接變更的項目，最多可能需要 8 天才會出現在您的 Google 帳戶中。

清除快取後，GCDS 就能辨識 Google 帳戶中的變更內容，並與 LDAP 目錄中的來源資料進行對照；如果資料不相符，GCDS 會復原您在 Google 帳戶中所做的變更。

如何手動清除快取：

• 透過「設定管理員」執行同步處理作業，並選擇在執行過程中清除快取。
• 使用指令列標記 -f 強制清除快取。
• 修改 XML 設定檔，將 maxCacheLifetime 值設為 0。

重要事項：清除快取可能會大幅增加同步處理時間。

使用者設定檔 (包括其他使用者屬性) 會寫入 Google 使用者帳戶，並顯示在帳戶的目錄中。GCDS 會在 Google 聯絡人中存取目錄。詳情請參閱「總覽：設定及管理目錄」。

您可以在設定 GCDS 時指定 GCDS 應處理的屬性值。當儲存在屬性中的資料與有效的 SMTP 地址相符時，GCDS 才會進行評估。

如果使用的是 Microsoft Active Directory proxyAddresses，GCDS 會在同步處理期間去掉 smtp: 前置字元，因此這個前置字元不會顯示在 Google 網域中。

可以，只要使用多個設定檔，即可透過 GCDS 將單一 LDAP 目錄同步至多個 Google 帳戶。如果您同時執行多個同步作業，請確認設定檔的儲存名稱不可重複。

如要複製現有的設定檔，請使用「設定管理員」中的 [另存新檔]選項，以新名稱儲存檔案。

如果您在 Google 管理控制台中開啟了相衝突的帳戶管理設定，GCDS 在同步處理期間會忽略這些設定。

如果 GCDS 遇到相衝突的帳戶，就會建立新的帳戶Google Workspace，並將現有個人帳戶重新命名為 <使用者名稱>%googleworkspacedomain@gtempaccount.com。

如果您要將部分使用者同步到 Google 帳戶，可以使用單一 Active Directory 或 LDAP 目錄群組做為來源。您只要用一個群組，就能限制 GCDS 在您 Google 帳戶中佈建的使用者人數。

範例：

使用者查詢
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

這個查詢會傳回符合下列條件的所有使用者：經群組 DN 識別身分為相應群組成員、擁有電子郵件地址，而且帳戶未遭停用。

您可以在 Google 網域設定中定義「機構完整路徑」排除規則，讓 GCDS 排除您已經在 Google 帳戶中設定的機構單位。

範例：

排除規則
類型：機構完整路徑
比對類型：完全符合
規則：/<機構單位路徑>/<我排除的機構單位>

您可以使用 GCDS，將使用者同步處理至您新增的其他 (次要) 網域。如要將使用者同步到次要網域，請確保使用者在 LDAP 伺服器中的郵件地址與次要網域名稱相符，因為 GCDS 在 Google 帳戶中建立使用者時會使用次要網域做為主要電子郵件地址。

如果您不想變更現有的 LDAP 郵件屬性，請指定另一個屬性來同步處理次要網域使用者的電子郵件地址。如要進一步瞭解次要網域，請參閱「新增使用者別名網域或次要網域」。

可以，只要 LDAP 伺服器支援萬用字元即可。

不過，當您執行使用者搜尋查詢時，LDAP 目錄不支援在 DN 屬性中使用萬用字元。舉例來說，您可以使用 (mail=user*)，但不能使用 (distinguishedName=*,DC=domain,DC=com)。

可以，只要您使用的 LDAP 伺服器支援 memberOf 遞迴搜尋即可。Active Directory 支援這種遞迴搜尋，但 OpenLDAP 不支援。

如果在執行 GCDS 後 Google Workspace 使用者帳戶遭到停權，我們將向您傳送錯誤訊息，說明出現該問題的原因。為避免在日後執行同步時再度出現這種錯誤，您可依問題原因採用下列其中一項解決方案：

• 問題：LDAP 伺服器中沒有這位使用者。

  解決方案：由於 LDAP 伺服器中沒有這位使用者，因此建議客戶設定 Google 使用者排除規則，防止 GCDS 在 Google Workspace 中將該使用者停權。

• 問題：該使用者在 LDAP 伺服器中的電子郵件地址無效。

  解決方法：您必須為該使用者設定電子郵件地址或 Google 使用者排除規則，防止 GCDS 在 Google Workspace 中將該使用者停權。

  您也可變更 GCDS 設定，以便採用使用者在 LDAP 伺服器中的電子郵件地址屬性。舉例來說，您可將「mail」屬性變更為「userPrincipalName」(UPN) 屬性。

• 問題：LDAP 伺服器的排除規則會略過該使用者。

  解決方案：如果不希望將該使用者停權，建議您修正排除規則。

• 問題：勾選「Suspend these users in the Google Domain」(在 Google 網域中將這些使用者停權) 選項後，系統會透過搜尋規則找出並將使用者停權。

  解決方案：您可能必須將該使用者停權。

• 問題：該使用者在 LDAP 伺服器中遭到停權。

  解決方案：您可能必須將該使用者停權。

循環群組成員關係是指 2 個 (或更多) 群組互為彼此的成員；舉例來說，群組 A 是群組 B 的成員，而群組 B 也是群組 A 的成員。

雖然 LDAP 和 Microsoft Active Directory 支援循環群組成員關係，但 Google 網路論壇並不支援。如果您試圖同步處理循環成員關係，系統會顯示「Cyclic memberships not allowed」(不可建立循環成員關係) 的錯誤訊息。

您可以在 Google 網域設定中定義「群組電子郵件地址」排除規則，讓 GCDS 排除特定群組。 詳情請參閱「對 Google 資料使用排除規則」。

範例：

排除規則
類型：群組電子郵件地址
比對類型：完全符合
規則：GCP_Project1@example.com

注意：建議您在 LDAP 目錄中建立並管理這類群組。當 GCDS 同步處理資料時，群組成員身分會在您的 Google 帳戶中保持最新狀態。

如要保留不在 LDAP 中的現有群組，您可以開啟「不要將在 LDAP 中找不到的 Google 群組刪除」設定。詳情請參閱《Google 群組刪除政策》。

使用者建立的群組屬於在 Google 網路論壇企業版中建立的群組。如果 LDAP 群組與使用者建立的群組相符，GCDS 會予以忽略，就如同為特定群組建立了 GCDS 排除規則。不過，系統不會移除與 LDAP 資料不符的群組。

如果您在 LDAP 中將成員新增至對應的實體，GCDS 也會將這些成員新增至群組。如果您在 Google 群組新增的使用者與 LDAP 資料不符，這些成員不會在同步處理程序中遭到移除。

如要進一步瞭解使用者建立的群組，請參閱「網路論壇管理員常見問題」。

可以，GCDS 會同步處理巢狀群組成員身分。不過，巢狀群組本身及其與 Google 網路論壇企業版之間的電子郵件傳送作業會有一些限制。在下列情況下，巢狀群組的部分成員會無法收到傳送給該群組的電子郵件內容：

• 審核權限已啟用。系統不會自動將寄給群組的電子郵件傳送給其中成員或其他巢狀群組，而是會先讓群組管理員進行審核。
• 上層群組沒有在底下巢狀群組中張貼貼文的權限。

相關主題

• 將群組新增到其他群組中
• 查看可以檢視、張貼訊息及進行管理的人選

可以。GCDS 會同步處理群組的所有成員，無論這些成員是使用者還是其他群組都一樣。不過，如果您的 LDAP 伺服器不支援展開巢狀群組成員的搜尋規則，GCDS 就同樣不會支援這項規則。

這可能是設定上的問題，例如排除規則設定錯誤。GCDS 快取可能會隱藏這類設定錯誤。

GCDS 最多會將 Google 服務 (例如Google Workspace 或 Cloud Identity) 的資料快取保留 8 天，視快取資料大小而定，也可能更快清除快取。但在未清除快取的情況下，透過管理控制台或其他 API 用戶端直接變更的項目，最多可能需要 8 天才會出現在您的 Google 帳戶中。

如何手動清除快取：

• 透過「設定管理員」執行同步處理作業，並選擇在執行過程中清除快取。
• 使用指令列標記 -f 強制清除快取。
• 修改 XML 設定檔，將 maxCacheLifetime 值設為 0。

重要事項：清除快取可能會大幅增加同步處理時間。

舉例來說，如果 LDAP 伺服器和 Google 帳戶中都包含某個群組，而您為了避免 GCDS 在同步處理期間變更這個群組，針對這個群組建立了 Google 排除規則。

然而，這項規則實際上卻導致 GCDS 運作時，將這個群組視為不存在於您的 Google 帳戶中。GCDS 會嘗試建立這個群組，但由於該群組已經存在，系統會顯示錯誤訊息，而 GCDS 會將群組新增到快取中。隨後的同步處理作業將使用快取，GCDS 便可辨識這個群組已經存在。如此一來，清除快取後，GCDS 運作時就會發生之前的情況，將這個群組視為不存在。

預設的 GCDS 密碼同步處理設定的用途，在於定義 GCDS 為新使用者帳戶建立密碼的方式。如果您不想自訂初始帳戶密碼，則不需採取任何行動，直接使用預設設定即可。

Active Directory 使用者可以使用 Password Sync 將使用者密碼從 Active Directory 同步到您的 Google 網域。

GCDS 會依優先順序 (從最高到最低) 套用規則。

舉例來說，您設定了「使用者帳戶」同步處理規則，讓 GCDS 在根機構單位或 / 建立使用者。隨後您又建立了優先順序較低的規則，讓 GCDS 在 /Exceptions 機構單位建立使用者。如有使用者同時符合兩項規則，經過同步處理後，GCDS 會因優先採用第一項規則，而在根機構單位建立使用者。

如要確保 GCDS 在 /Exceptions 正確建立使用者，請務必將這項規則的優先順序設為高於任何其他衝突的規則，或是設為排序清單中的第一項規則。

GCDS 會使用三足式 OAuth 2.0 授權。這項程序會將 OAuth 2.0 憑證授予 GCDS，讓 GCDS 代表執行授權的管理員執行動作。

系統會依授權 GCDS 的管理員列出所有稽核事件。建議您建立專屬的 GCDS 管理員帳戶，以便清楚查看 GCDS 執行的變更和稽核作業。

相關主題

授權給您的 Google 帳戶

在同步處理期間，GCDS 會根據當前的 LDAP 設定，判斷應該保留還是刪除 Google 帳戶中的自訂結構定義。

此外，GCDS 設定檔的 schemaHistory 設定中會有已經同步處理的自訂結構定義的資訊。只要是 GCDS 已經同步處理的自訂結構定義，就會新增到 schemaHistory 設定中。如果您手動刪除了設定檔中的 schemaHistory 設定，而且 LDAP 目錄中沒有自訂結構定義，GCDS 就會略過這類自訂結構定義，不會將其從您的 Google 帳戶中刪除。

如要手動刪除設定檔中的 schemaHistory，請找出以下內容：

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

用於加密 GCDS 更新權杖的對稱密鑰由預設的 Java crypto KeyGenerator 使用 AES 128 產生。

對稱密鑰儲存空間是在 Java 的 Preference 類中，使用 userNodeForPackage 方法進行處理。密鑰的確切位置不受 GCDS 控制，而是取決於 OS。

在 Windows 系統上，偏好設定資料儲存在使用者的登錄區中，而在 Linux 系統上，則是儲存在使用者的主目錄中。

我們建議客戶遵循最佳做法，透過使用已加密的檔案系統及採用受限制的 ACL，來確保密鑰安全無虞。

專屬 ID (也稱為非地址主鍵) 是由 GCDS 於內部使用，因此不會同步至 Google Workspace。在已安裝 GCDS 的電腦上，GCDS 會將專屬 ID 儲存在 TSV 檔案中。您可以在 XML 設定檔中找到 TSV 檔案名稱和檔案完整路徑。

如果在 LDAP 伺服器上將使用者重新命名，但未在 Google Workspace 上執行相同操作，GCDS 會使用專屬 ID 防止系統刪除或複製該使用者的詳細資料。

注意：如果您同時在 LDAP 伺服器和 Google Workspace 上手動變更使用者的電子郵件地址，可能會發生同步處理問題。為避免這種情況，請在執行 GCDS 前，從 TSV 檔案中移除相應的使用者記錄。

您可以讓 GCDS 使用 LDAP 搜尋規則來同步處理安全性群組。

範例 1：搜尋所有安全性群組

以下 LDAP 搜尋範例會找出擁有電子郵件地址的所有安全性群組：

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

範例 2：搜尋一部分安全性群組

如要同步處理一部分安全性群組，建議您使用 extensionAttribute1 並設定特定的值 (例如 GoogleCloud)。接著請修正 GCDS 查詢，僅佈建特定一部分的安全性群組。

以下 LDAP 搜尋範例會找出擁有電子郵件地址和 GoogleCloud 屬性的所有安全性群組：

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

重要事項：

• 系統會依電子郵件地址參照 Google 網域中的所有群組。您必須確保所有要同步處理的安全性群組都定義了有效的郵件屬性。
• 在 Google 網域中建立的群組不會自動取得明確的 Cloud Identity and Access Management (IAM) 角色。建立群組後，您必須使用 Cloud IAM 為群組指派特定的角色。

設定 GCDS 時，您可以為 Google 雲端使用者新增使用者同步處理規則。最簡單的方法是根據屬於群組成員的使用者建立新查詢，例如：

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

然後您可以使用下列搜尋篩選條件，傳回屬於群組成員、擁有電子郵件地址，且帳戶未遭停權的使用者：

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

建議您將這些使用者加入單一機構單位中。方法是在規則中定義機構單位名稱 (例如雲端使用者)，然後建立該機構單位 (如果還沒有的話)。

授權問題

請根據您網域的設定方式，正確指派產品授權給使用者帳戶。如果啟用了自動授權功能，建議您將雲端使用者機構單位排除在產品授權的指派範圍之外。詳情請參閱「為機構設定自動授權選項」。

如有更複雜的授權需求，您可以讓 GCDS 同步處理並管理所有使用者授權指派作業。詳情請參閱「同步處理授權」。