5. กำหนดค่า Password Sync

หัวข้อนี้จะอธิบายวิธีการตั้งค่า Password Sync โดยใช้วิซาร์ดการกำหนดค่า หากต้องการดูวิธีการตั้งค่าโดยใช้บรรทัดคำสั่ง โปรดดูหัวข้อติดตั้งและกำหนดค่า Password Sync จากบรรทัดคำสั่ง

ขั้นตอนต่อไป คุณจะต้องเพิ่มโดเมน Google Workspace และวิธีการตรวจสอบสิทธิ์

คุณอยู่ที่ขั้นตอนที่ 5 จากทั้งหมด 7 ขั้นตอน

ขั้นตอนที่ 1: เพิ่มโดเมน Google Workspace

1. จากเมนู Start ให้คลิก Password SyncYesNext
2. เพิ่มอีเมลของผู้ดูแลระบบ Google Workspace

   Password Sync จะใช้อีเมลนี้ในการอัปเดตรหัสผ่าน โดยอีเมลนี้จะปรากฏในบันทึกการตรวจสอบในคอนโซลผู้ดูแลระบบของ Google ด้วย

   สำคัญ: ก่อนดำเนินการต่อ โปรดตรวจสอบว่าผู้ดูแลระบบได้ลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบและยอมรับข้อกำหนดในการให้บริการแล้ว

ขั้นตอนที่ 2: ตั้งค่าวิธีการตรวจสอบสิทธิ์

กรณีที่ใช้บัญชีบริการ

1. เลือก Service Account
2. คลิก Load Credentials แล้วเลือกไฟล์ JSON ของบัญชีบริการ

   ค่า Status ควรเปลี่ยนเป็น Authorized

   หมายเหตุ: ไฟล์ JSON จะมีคีย์ที่อนุญาตการเข้าถึงโดเมน Google ดังนั้นหลังจากตรวจสอบสิทธิ์แล้ว ให้นำไฟล์นี้ออกจากระบบ

กรณีที่ใช้ OAuth แบบ 3 ทาง

1. เลือก 3-legged OAuthAuthorize Now
2. เมื่อได้รับข้อความแจ้ง ให้ลงชื่อเข้าใช้บัญชี Google ด้วยอีเมลที่เลือกใช้เมื่อตั้งค่า OAuth แบบ 3 ทาง แล้วคลิก Continue
3. หากจำเป็น โปรดระบุชื่อผู้ใช้และรหัสผ่านของผู้ดูแลระบบ และคลิก Sign in
4. คลิกอนุญาต

   คุณควรเห็นข้อความ "ได้รับสิทธิ์แล้ว โปรดเปลี่ยนไปใช้แอปพลิเคชันของคุณ"

5. ปิดเบราว์เซอร์แล้วกลับไปที่ Password Sync ซึ่งค่า Status ควรเปลี่ยนเป็น Authorized

6. หากหน้าจอ Password Sync ไม่ปรากฏข้อความ Authorized ให้ดูข้อความแสดงข้อผิดพลาดที่ด้านล่างของหน้าจอการกำหนดค่า Password Sync โดยทั่วไป การให้สิทธิ์จะถูกบล็อกเนื่องจากผู้ใช้ไม่ใช่ผู้ดูแลระบบขั้นสูง หรือไม่ได้ตั้งค่าเวลาและเขตเวลาในเซิร์ฟเวอร์อย่างถูกต้อง

ขั้นตอนที่ 3: ตั้งค่าวิธีการให้สิทธิ์การเข้าถึง

1. คลิก Next
2. เลือกวิธีการให้สิทธิ์การเข้าถึงแก่ Password Sync เพื่อใช้ในการค้นหา Microsoft Active Directory โปรดดูรายละเอียดที่หัวข้อวิธีการให้สิทธิ์เข้าถึง (ด้านล่าง)
3. สำหรับ Base distinguished name (DN) ให้ยอมรับค่าเริ่มต้นหรือป้อน DN พื้นฐานอื่น

   หากใช้ Google Cloud Directory Sync (GCDS) อยู่ การตั้งค่านี้โดยทั่วไปจะเหมือนกับการตั้งค่า DN พื้นฐานของ GCDS

4. สำหรับ Mail Attribute ให้ป้อนแอตทริบิวต์อีเมลของโดเมน Active Directory ที่มีอีเมล Google ของผู้ใช้แต่ละราย (โดยปกติคือ "อีเมล")

   ค่าในแอตทริบิวต์ต้องตรงกับอีเมล Google ทุกประการรวมถึงส่วนโดเมนของอีเมล หากใช้ตัวเลือก Replace domain names in LDAP email addresses ใน GCDS แอตทริบิวต์นั้นอาจจะเป็นแอตทริบิวต์อื่น

5. คลิก Next

   หน้าจอสรุปจะแสดงว่ามีการบันทึกการกำหนดค่าแล้วและบริการกำลังทำงานอยู่

6. คลิก Finish
7. ทำขั้นตอนนี้ซ้ำกับตัวควบคุมแต่ละรายการในโดเมนของคุณ

วิธีการให้สิทธิ์การเข้าถึง

วิธีการเข้าถึง	คำอธิบาย
บริบทด้านความปลอดภัยของแอปพลิเคชัน	การตั้งค่าเริ่มต้นและการตั้งค่าที่แนะนำ Password Sync จะทำงานในบริบทด้านความปลอดภัยของบัญชี NetworkService ไม่ใช่บัญชีผู้ใช้ หากมีตัวควบคุมโดเมน Server Core หรือกำลังกำหนดค่า Password Sync จากบรรทัดคำสั่ง คุณต้องเลือกตัวเลือกนี้
ไม่ระบุชื่อ	Password Sync จะใช้ Active Directory Services Interfaces (ADSI) เพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์ เราไม่แนะนำให้ใช้การเข้าถึงที่ไม่ระบุชื่อเนื่องจากการกำหนดค่า Active Directory ส่วนใหญ่ไม่รองรับ
ข้อมูลเข้าสู่ระบบของผู้ใช้	Password Sync ดำเนินการในนามของผู้ใช้ที่ได้รับอนุญาต ผู้ใช้นี้ไม่จำเป็นต้องเป็นผู้ดูแลระบบโดเมน แต่อาจเป็นบัญชีบทบาทที่มีสิทธิ์ต่างๆ ได้แก่ List Contents, Read All Properties และ Read Permissions ที่ใช้กับ "This object and all child objects" ผู้ใช้ที่ได้รับอนุญาตจะเรียกคืนอีเมลของผู้ใช้จาก Active Directory จึงต้องมีสิทธิ์อ่านแอตทริบิวต์อีเมลสำหรับผู้ใช้ทั้งหมดซึ่งมีรหัสผ่านที่คุณต้องการซิงค์ หากเลือกตัวเลือกนี้ ให้กรอกข้อมูลในช่องผู้ใช้ที่ได้รับอนุญาตและรหัสผ่าน