Hoe werkt Password Sync?

U kunt Password Sync gebruiken om de Google Workspace- en Cloud Identity-wachtwoord van uw gebruikers rechtstreeks te updaten vanuit Microsoft Active Directory.

Password Sync is beschikbaar voor Google Workspace- en Cloud Identity-beheerders.

Hoe het werkt

Nadat u Password Sync heeft geïnstalleerd en geconfigureerd, wordt elke keer dat een Active Directory-gebruiker een wachtwoord wijzigt, het geüpdatete wachtwoord naar uw Google-account gestuurd.

  1. Als het wachtwoord van een gebruiker wordt gewijzigd, wordt het updateverzoek naar een domeincontroller (DC) gestuurd.
  2. De Dynamic Link Library (DLL) van Password Sync wordt op die DC aangeroepen door Microsoft Windows met het nieuwe wachtwoord en de gebruikersnaam.
  3. De service krijgt het gehashte wachtwoord en de gebruikersnaam van de DLL.
  4. De service haalt het e-mailadres van de gebruiker op uit de Active Directory via LDAP.
  5. De service updatet uw Google-account via de Directory API. Daarnaast moet u verschillende poorten openen en bepaalde hostnamen toevoegen aan uw toelatingslijst om ervoor te zorgen dat de Google Workspace API's naar behoren werken. Meer informatie
  6. De gebruiker kan vervolgens met het Active Directory-wachtwoord inloggen op het Google-account.

Technische gegevens

  • In Active Directory worden wachtwoorden als alleen-schrijven opgeslagen. Ze kunnen niet worden gelezen door een interface, zoals LDAP. Daarom hebben conventionele synchronisatiemethoden (zoals Google Cloud Directory Sync) er geen toegang toe. De enige manier om wachtwoorden te lezen is door ze vast te leggen als ze worden ingesteld of gewijzigd.
  • Password Sync heeft een DLL met de naam password_sync_dll.dll, die wordt geïnstalleerd als LSA-meldingspakket. Bekijk dit Microsoft-artikel voor meer informatie over LSA-meldingspakketten.
  • Als een wachtwoord wordt gewijzigd op een specifieke DC, krijgt de DLL het geüpdatete wachtwoord en de gebruikersnaam van de gebruiker. U moet Password Sync installeren op elke beschrijfbare DC, omdat de wachtwoordsynchronisatie wordt getriggerd door Windows op de DC waarop de wachtwoordwijziging wordt ontvangen. Dit proces wordt door elke wachtwoordupdate in gang gezet, of dit nu door een beheerder of door de eindgebruiker wordt gedaan. Bekijk dit Microsoft-artikel voor meer informatie over de callbackfunctie PasswordChangeNotify.
  • Als de DLL de gebruikersnaam en het wachtwoord ontvangt, hasht deze het wachtwoord als gesalte SHA512 en stuurt deze het naar de Password Sync-service.
  • De Password Sync-service (password_sync_service.exe) zoekt het e-mailadres van de gebruiker vervolgens op in Active Directory via LDAP, gebaseerd op de gebruikersnaam die is verstuurd door de DLL. Vervolgens wordt het Google-account geüpdatet via de Directory API. Als wachtwoorden worden gewijzigd via de Directory API, worden sommige OAuth-tokens voor apps ingetrokken. Gebruikers moeten mogelijk opnieuw inloggen bij apps met hun gebruikersnaam en wachtwoord.
  • Password Sync volgt de programmeringsoverwegingen voor wachtwoordfilters van Microsoft. Bekijk dit Microsoft-artikel voor meer informatie.


Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
4074138589718800717
true
Zoeken in het Helpcentrum
true
true
true
false
false