Directory Sync 常见问题解答

如果您只同步用户和群组，则 Directory Sync 可能会满足您的要求。

如果您同步对象以及用户和群组（例如 Google Workspace 许可或共享联系人），可以考虑将 Directory Sync 用于同步用户和群组，将 GCDS 用于其他对象。但是，如果要同步用户和群组，则必须对这两者使用相同的同步工具。

有关详情，请参阅比较 Directory Sync 与 GCDS。

符合。您可以使用 Directory Sync 同步用户和群组，使用 GCDS 同步其他对象，例如共享联系人。我们建议您使用一种工具来同步用户和群组。

可以，您可以更改外部目录群组的名称。如果您在 Directory Sync 的用户范围部分添加群组并勾选在 Google 目录中暂停用户复选框后运行同步，则需要执行一些额外的步骤。在这种情况下，请按照以下说明更改群组名称。

注意：如果上述情况不适用于您的设置，您可以重命名外部目录群组，而无需执行这些额外步骤。

1. 停用同步。

   有关详情，请参阅启用或停用同步。

2. 在目录详细信息页面上，点击用户同步旁边的“修改”图标 。
3. 输入新群组的名称，然后保存同步配置。
4. 在外部目录中重命名该群组。
5. 在 Directory Sync 中的用户范围下，移除旧群组名称并保存同步配置。

如果将用户范围中定义的群组从外部目录删除，Google Cloud 目录中的用户会在同步后保持活跃或暂停状态，具体取决于您的取消配置设置。此操作会继续执行，直到您从同步范围中移除该群组。

如果您删除外部目录中的群组，然后使用相同名称添加回去，则 Directory Sync 会像同步新群组一样同步该群组（因为它具有新的群组 ID）。

有关详情，请参阅暂停在外部目录中找不到的用户。

不可以，Directory Sync 无法同步外部目录中的用户密码。

可以，您可以使用 Directory Sync 将用户同步到辅助域名。

请确保外部目录中的用户的电子邮件地址与辅助域名一致。如果您不想更改现有邮件属性，请使用其他属性，并在设置用户同步时分配该属性。在同步期间，Directory Sync 会使用您的辅助域名作为主要邮件地址在 Google Cloud 目录中创建用户。

有关详情，请参阅替换已同步用户的域名。

为了简化网络配置，我们建议您在 Cloud VPN 或 Cloud Interconnect 所在的项目中创建 Virtual Private Cloud (VPC) 访问连接器。如果要在其他项目中创建 VPC 访问连接器，请使用共享 VPC。如需了解详情，请参阅共享 VPC 概览。

搜索目录对象（如用户和群组）时，您的 LDAP 服务器会以基本 DN 为起点。基本 DN 的范围越窄，搜索时的效果就越好。

示例

我们建议您使用 objectClass 和 objectQuery 属性来进一步缩小查询范围。如需了解详情，请参阅对 objectCategory 和 objectClass 进行过滤。

相关主题

• ADDS 性能调整中的 LDAP 注意事项
• 什么是快速查询？

可以，您最多可以创建 50 个 AD 连接。每个连接所对应的 AD 网域都必须是独一无二的。

如需改善搜索效果，请按以下说明操作：

• 基本 DN - 调整基本 DN，让其尽可能具体。例如，如果您的用户或群组位于某个组织部门层次结构中，请使用搜索查询指向层次结构的上级组织部门，而不是根级组织部门。这样可确保 LDAP 搜索在特定组织部门层次结构（而非整个目录）中进行。
• 范围 - 考虑 LDAP 查询中包含的层次结构级别。

  在本示例中，组织部门层次结构分为区域（第 1 级）和国家/地区（第 2 级）。如果您的用户和群组属于亚太地区组织部门，请将 LDAP 查询的范围设置为一级，以便查询仅搜索亚太地区组织部门（而不是其第 2 级组织部门）。如果您希望在搜索中包含第 2 级组织部门，请将范围设为子树。

相关主题

• ADDS 性能调整中的 LDAP 注意事项
• 什么是快速查询？

有限制，您只能添加一个 Microsoft Azure Active Directory 连接。

• 用户范围 - 2,000 个群组（所有群组总共不得超过 100,000 个字符）
• 群组范围 - 400 个群组（所有群组总共不得超过 17,000 个字符）