Wie funktioniert Password Sync?

Mit Password Sync können Sie die Google Workspace- und Cloud Identity-Passwörter Ihrer Nutzer direkt über Microsoft Active Directory aktualisieren.

Password Sync ist für Google Workspace- und Cloud Identity-Administratoren verfügbar.

Funktionsweise

Nachdem Password Sync installiert und konfiguriert wurde, sendet es jedes Mal, wenn ein Active Directory-Nutzer sein Passwort ändert, das aktualisierte Passwort an Ihr Google-Konto.

  1. Bei Änderung eines Nutzerpassworts wird eine Aktualisierungsanforderung an einen Domaincontroller (DC) gesendet.
  2. Die Dynamic Link Library (DLL) von Password Sync wird auf diesem DC von Microsoft Windows mithilfe des neuen Passworts und Nutzernamens aufgerufen.
  3. Der Dienst empfängt das mit einem Hash versehene Passwort und den Nutzernamen von der DLL.
  4. Die E-Mail-Adresse des Nutzers wird über LDAP aus Active Directory abgerufen.
  5. Der Dienst aktualisiert das Google-Konto mithilfe der Directory API. Damit die Google Workspace APIs ordnungsgemäß funktionieren, müssen Sie außerdem mehrere Ports öffnen und Ihrer Zulassungsliste einige Hostnamen hinzufügen. Weitere Informationen
  6. Der Nutzer kann sich mit seinem Active Directory-Passwort in seinem Google-Konto anmelden.

Technische Details

  • Passwörter werden in Active Directory lesegeschützt gespeichert. Sie können nicht über Schnittstellen wie LDAP gelesen werden. Herkömmliche Synchronisierungsmethoden wie Google Cloud Directory Sync können daher nicht darauf zugreifen. Passwörter können nur dann gelesen werden, wenn sie beim Erstellen oder Ändern erfasst werden.
  • Password Sync hat eine DLL mit dem Namen „password_sync_dll.dll“, die in Form eines LSA-Benachrichtigungspakets installiert ist. Weitere Informationen zu LSA-Benachrichtigungspaketen finden Sie in diesem Microsoft-Artikel.
  • Wenn ein Passwort auf einem bestimmten DC geändert wird, erhält die DLL das aktualisierte Passwort und den Namen des Nutzers. Password Sync muss auf jedem beschreibbaren DC installiert sein, da Microsoft Windows auf dem DC, der die Passwortänderung erhält, die Synchronisierung des Passworts auslöst. Die Auslösung erfolgt bei jeder Passwortaktualisierung, unabhängig davon, ob sie von einem Administrator oder vom Endnutzer vorgenommen wurde. Weitere Informationen zur Callback-Funktion "PasswordChangeNotify" finden Sie in diesem Microsoft-Artikel.
  • Wenn die DLL den Nutzernamen und das Passwort erhält, wird das Passwort mit einem SHA512-Hash mit Salt versehen und an Password Sync gesendet.
  • Der Password Sync-Dienst („password_sync_service.exe“) sucht dann anhand des von der DLL gesendeten Nutzernamens über LDAP in Active Directory nach der E-Mail-Adresse des Nutzers. Anschließend wird das Google-Konto mit der Directory API aktualisiert. Wenn Passwörter über die Directory API geändert werden, werden einige OAuth-Tokens für Anwendungen widerrufen. Nutzer müssen sich dann möglicherweise noch einmal mit ihrem Nutzernamen und Passwort in Anwendungen anmelden.
  • Password Sync entspricht den Microsoft-Kriterien zur Programmierung von Passwortfiltern. Weitere Informationen finden Sie in diesem Microsoft-Artikel.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
15439860630425085118
true
Suchen in der Hilfe
true
true
true
false
false