Как администратор, настраивающий Поставщик учетных данных Google для Windows (GCPW), вы можете упростить пользователю процедуру первого входа в аккаунт. С помощью GCPW вы можете связать имеющийся профиль Windows пользователя с его аккаунтом Google. В таком случае пользователь сможет входить в свой профиль Windows для работы с аккаунтом Google. Кроме того, GCPW синхронизирует пароли Google и Windows пользователя.
Чтобы создать новый профиль Windows и связать его с аккаунтом Google, установите GCPW, пропустив дальнейшие инструкции.
При первом входе пользователя на устройство GCPW создаст профиль Windows и свяжет с ним аккаунт Google.
Как выполняется связывание аккаунтов
GCPW связывает аккаунт Google пользователя с имеющимся локальным профилем или профилем Active Directory в Windows на основе настраиваемого атрибута, добавленного вами в каталог Google. В этом настраиваемом атрибуте указывается имя пользователя для такого профиля.
Когда пользователь впервые выполняет вход на устройстве после установки GCPW, поставщик ищет имя пользователя Windows в каталоге. GCPW получает имя пользователя Windows из каталога и ищет соответствующий профиль или имя пользователя Active Directory на устройстве. Примечание. Если устройство работает с Active Directory и на нем не установлен профиль пользователя Windows, зарегистрированный в Active Directory (для входа ему нужно выбрать пункт Другие пользователи), то при первом входе потребуется подключение к Active Directory.
- Если GCPW находит соответствующий профиль Windows или имя пользователя Active Directory, аккаунт Google связывается с профилем Windows, а пароли синхронизируются.
- Если в каталоге нет имени пользователя Windows для аккаунта или если GCPW не находит на устройстве соответствующий профиль, на устройстве создается профиль Windows, который связывается с аккаунтом Google.
- Если устройство подключено к домену Active Directory, а имя пользователя Active Directory недействительно, то GCPW может вернуть сообщение об ошибке. Если настраиваемый атрибут не задан для аккаунта Google, GCPW создает профиль Windows или возвращает сообщение об ошибке в зависимости от типа аккаунта, который пользователь выбрал при входе.
Подробнее о том, как войти в Windows после установки GCPW…
Подготовка
Ознакомьтесь со статьей Подготовка к установке GCPW.
Шаг 1. Добавьте настраиваемый атрибут в аккаунты пользователей
Вы можете добавить настраиваемый атрибут в консоли администратора, с помощью виджета на странице документации для разработчиков, Directory API или Google Cloud Directory Sync (GCDS).
Как добавить атрибут в консоли администратора-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню КаталогПользователи.
- Вверху списка Пользователи нажмите Ещё Управление настраиваемыми атрибутами.
- В разделе Стандартные атрибуты вы увидите список атрибутов по умолчанию в профиле пользователя.
- В правом верхнем углу нажмите Добавить настраиваемый атрибут.
- В разделе Категория введите
Enhanced desktop security
. Название категории необходимо вводить с учетом регистра. - В разделе Собственные поля введите следующие значения:
- Название – введите одну из следующих строк или обе из них как отдельные записи в зависимости от типа профиля Windows пользователя:
Local Windows accounts
илиAD accounts
. В названии учитывается регистр. - Тип сведений – выберите Текст.
- Параметры доступа – выберите Доступно пользователю и администратору.
- Количество значений – выберите Несколько значений.
- Название – введите одну из следующих строк или обе из них как отдельные записи в зависимости от типа профиля Windows пользователя:
- Нажмите Добавить. Атрибут появится на странице Управление атрибутами пользователя.
Примечание. Если вы неправильно укажете значение в поле Категория или Название, то не сможете изменить настраиваемый атрибут, чтобы исправить значение. Удалите атрибут и создайте его заново.
В документации по API представлен виджет для тестирования, с помощью которого можно отправить запрос и выполнить аутентификацию с аккаунтом Google суперадминистратора без необходимости написания кода.
Чтобы добавить настраиваемый атрибут с помощью виджета для тестирования API:
- Откройте раздел Schemas: insert.
- Справа на панели для тестирования введите следующие значения:
- customerId – введите
my_customer
. - Request body (Текст запроса) – удалите пример содержимого и скопируйте следующий текст в это поле:
{ "displayName": "Enhanced Desktop Security", "fields": [ { "displayName": "AD accounts", "fieldName": "AD_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" }, { "displayName": "Local Windows accounts", "fieldName": "Local_Windows_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" } ], "schemaName": "Enhanced_desktop_security" }
- customerId – введите
- Нажмите Execute (Выполнить).
- При появлении запроса введите учетные данные аккаунта суперадминистратора.
Если запрос будет выполнен успешно, в нижней части панели появится код ответа 200. Чтобы убедиться, что настраиваемый атрибут успешно создан, можете открыть консоль администратора и перейти в раздел Пользователи Ещё Управление настраиваемыми атрибутами.
Добавьте настраиваемый атрибут с помощью Directory API.
Добавьте значения в Active Directory и воспользуйтесь Google Cloud Directory Sync (GDCS), чтобы синхронизировать их с консолью администратора.
Шаг 2. Задайте значения для настраиваемого атрибута в каждом аккаунте пользователя
Выполните указанные ниже действия для каждого пользователя, аккаунт Google которого вы хотите связать с имеющимся профилем Windows с помощью GCPW.Подробнее об изменении атрибутов…
Как задать значения для настраиваемого атрибута поочередно для каждого пользователя
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню КаталогПользователи.
- В списке Пользователи выберите имя нужного пользователя. Подробнее о том, как найти аккаунт пользователя…
- Выберите Информация о пользователе и перейдите в раздел Расширенные настройки безопасности для компьютеров.
- Если для пользователя настроен аккаунт Active Directory, введите имя sAMAccountName такого пользователя в текстовом поле в следующем формате: домен\имя_пользователя.
Например, если вы работаете с доменом example.com и пользователь входит в Windows с именем aivanov, введите sAMAccountName
example.com\aivanov
.Примечания
- Вы можете ввести только один аккаунт Active Directory для пользователя. Если ввести несколько аккаунтов, GCPW будет использовать только первую запись.
- Если вы также добавите запись для локального аккаунта (на следующем шаге), GCPW в первую очередь будет искать аккаунт Active Directory.
- Если для пользователя настроен локальный профиль Windows, введите данные аккаунта этого пользователя в текстовом поле в следующем формате: un:имя пользователя Windows. Имя пользователя Windows может содержать пробелы. Если у пользователя несколько локальных аккаунтов Windows, укажите каждый в поле Local Windows accounts (Локальные аккаунты Windows) (новое поле добавляется, когда вы начинаете вводить название аккаунта).
Чтобы разрешить пользователю доступ только с определенного устройства, введите un:имя пользователя Windows,sn:серийный номер устройства. Не добавляйте пробел после запятой. Можно указать только один серийный номер устройства.
Например, если пользователь входит в Windows с именем aivanov, введите
un:aivanov
. Чтобы пользователь мог выполнять вход только на устройстве с серийным номером 123456, введитеun:aivanov,sn:123456
. - Нажмите Сохранить.
Чтобы настроить атрибуты сразу для нескольких пользователей, добавьте значения одним из следующих способов:
- с помощью Directory API;
- с помощью Google Cloud Directory Sync (GDCS) для синхронизации значений из Active Directory.
Следующий шаг: установите GCPW
Выполните инструкции из этой статьи.
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.