5. 配置 Password Sync

本部分介绍了如何使用配置向导设置 Password Sync。如要了解如何使用命令行进行设置，请参阅通过命令行安装和配置 Password Sync。

接下来，您需要添加您的 Google Workspace 域名和身份验证方法。

当前进度：第 5 步（共 7 步）

第 1 步：添加 Google Workspace 域名

在开始菜单中，点击 Password Sync 是 下一步。
添加您的 Google Workspace 管理员电子邮件地址。
Password Sync 使用此电子邮件地址执行密码更新。该地址也会出现在 Google 管理控制台的审核日志中。

重要提示：继续操作之前，请确保此管理员已登录管理控制台并接受《服务条款》。

第 2 步：设置身份验证方法

如果您使用的是服务帐号，请按照以下步骤操作：

选择 Service Account（服务帐号）。
点击 Load Credentials（加载凭据），然后选择您的服务帐号 JSON 文件。
Status（状态）值应该会变为 Authorized（已授权）。

注意：该 JSON 文件包含可用来访问您 Google 网域的密钥。完成身份验证后，您应将该文件从系统中移除。

如果您使用的是三方模式 OAuth，请按照以下步骤操作：

选择 3-legged OAuth（三方模式 OAuth） Authorize Now（立即授权）。
系统提示时，使用您在设置三方模式 OAuth 时使用的电子邮件地址登录您的 Google 帐号，然后点击 Continue（继续）。
如果系统提示，请输入您的管理员用户名和密码，然后点击 Sign in（登录）。
点击 Allow（允许）。
您应此会看到“已成功授权，请切换到您的应用。”
关闭浏览器，然后返回 Password Sync。Status（状态）值应已更改为 Authorized（已授权）。
如果 Password Sync 屏幕未显示 Authorized（已授权），请参阅 Password Sync 配置屏幕底部的错误消息。通常情况下，系统阻止授权是由于用户不是超级用户，或者您服务器上的时间和时区未正确设置。

第 3 步：设置授权访问方法

点击下一步。
为 Password Sync 选择授权访问方法以在 Microsoft Active Directory 中进行查询。有关详情，请参阅授权访问方法（见下文）。
对于 Base distinguished name (DN)[基准标识名 (DN)]，请接受默认值或输入其他基准 DN。
如果您使用的是 Google Cloud Directory Sync (GCDS)，则此设置通常与 GCDS 基准 DN 设置相同。
对于 Mail Attribute（邮件属性），请输入您的 Active Directory 网域的邮件属性，其中包含每个用户的 Google 电子邮件地址（通常为“mail”）。
此属性值必须与 Google 电子邮件地址完全匹配（包括地址的域名部分）。如果您在 GCDS 中使用 Replace domain names in LDAP email addresses（替换 LDAP 电子邮件地址中的域名）选项，则可能是另一个属性。
点击下一步。
“Summary”（摘要）屏幕显示配置已保存且服务正在运行。
点击 Finish（完成）。
为您网域中的每个网域控制器重复上述步骤。

授权访问方法

访问方法	说明
应用的安全上下文	这是默认和推荐的设置。Password Sync 会在 NetworkService 帐号（而不是用户帐号）的安全上下文中运行。如果您使用的是 Server Core 网域控制器，或者通过命令行配置 Password Sync，则必须选择此选项。
匿名	Password Sync 使用 Active Directory 服务界面 (ADSI) 进行身份验证。我们不建议采用匿名访问方法，因为大多数 Active Directory 配置都不支持匿名访问。
用户凭据	Password Sync 会代表获授权的用户执行操作。此用户不必是网域管理员，但可以是具有以下权限的角色帐号：“List Contents”（列表内容）、“Read All Properties”（读取所有属性）和“Read Permissions”（读取权限），应用到“This object and all child objects”（此对象和所有子对象）。获授权的用户会从 Active Directory 中检索用户的电子邮件地址。他们必须有权读取您想要同步其密码的所有用户的邮件属性。如果您选择此选项，请填写 Authorized User（获授权的用户）和 Password（密码）字段。

访问方法

说明

应用的安全上下文

这是默认和推荐的设置。Password Sync 会在 NetworkService 帐号（而不是用户帐号）的安全上下文中运行。

如果您使用的是 Server Core 网域控制器，或者通过命令行配置 Password Sync，则必须选择此选项。

匿名

Password Sync 使用 Active Directory 服务界面 (ADSI) 进行身份验证。

我们不建议采用匿名访问方法，因为大多数 Active Directory 配置都不支持匿名访问。

用户凭据

Password Sync 会代表获授权的用户执行操作。此用户不必是网域管理员，但可以是具有以下权限的角色帐号：“List Contents”（列表内容）、“Read All Properties”（读取所有属性）和“Read Permissions”（读取权限），应用到“This object and all child objects”（此对象和所有子对象）。

获授权的用户会从 Active Directory 中检索用户的电子邮件地址。他们必须有权读取您想要同步其密码的所有用户的邮件属性。

如果您选择此选项，请填写 Authorized User（获授权的用户）和 Password（密码）字段。

_{“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。}

该内容对您有帮助吗？

您有什么改进建议？