Jak działa Password Sync

Password Sync może służyć do aktualizowania haseł użytkowników Google Workspace i Cloud Identity bezpośrednio w Microsoft Active Directory.

Narzędzie Password Sync jest dostępne dla administratorów Google Workspace i Cloud Identity.

Jak to działa

Po instalacji i konfiguracji Password Sync wysyła zaktualizowane hasła do Twojego konta Google za każdym razem, gdy użytkownik Active Directory zmieni swoje hasło.

  1. Zmiana hasła przez użytkownika powoduje wysłanie żądania aktualizacji do kontrolera domeny.
  2. System Microsoft Windows wywołuje bibliotekę DLL narzędzia Password Sync z nowym hasłem i loginem użytkownika w danym kontrolerze domeny.
  3. Usługa otrzymuje zaszyfrowane hasło wraz z nazwą użytkownika z pliku DLL.
  4. Adres e-mail użytkownika jest pobierany przez usługę z Active Directory przy użyciu LDAP.
  5. Usługa aktualizuje konto Google przy użyciu interfejsu Directory API. Co więcej, aby interfejsy Google Workspace API działały poprawnie, musisz otworzyć kilka portów i dodać nazwy hostów do listy dozwolonych. Więcej informacji
  6. Użytkownik może następnie zalogować się na swoje konto Google za pomocą hasła z Active Directory.

Informacje techniczne

  • Hasła w Active Directory można tylko zapisywać. Nie można ich odczytać przy użyciu interfejsu (na przykład LDAP). Z tego powodu tradycyjne metody synchronizacji (na przykład Google Cloud Directory Sync) nie mają do nich dostępu. Jedynym sposobem odczytu haseł jest przechwycenie ich podczas ustawiania lub zmieniania.
  • Password Sync ma bibliotekę DLL „password_sync_dll.dll”, która jest instalowana jako pakiet powiadomień LSA. Więcej informacji o pakietach powiadomień LSA znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
  • Zmiana hasła w określonym kontrolerze domeny powoduje umieszczenie w pliku DLL zaktualizowanego hasła wraz z nazwą użytkownika. Narzędzie Password Sync musi zostać zainstalowane na każdym kontrolerze domeny z możliwością zapisu, ponieważ system Microsoft Windows uruchamia synchronizację haseł na kontrolerze za każdym razem, gdy hasło jest aktualizowane – niezależnie od tego, czy zmianę wprowadził administrator czy użytkownik końcowy. Więcej informacji o funkcji wywołania zwrotnego PasswordChangeNotify znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
  • Gdy nazwa użytkownika i hasło trafiają do biblioteki DLL, zostają zaszyfrowane jako skrót SHA512 z ciągiem zaburzającym i wysłane do usługi Password Sync.
  • Usługa Password Sync („password_sync_service.exe”) wyszukuje adres e-mail użytkownika w Active Directory przy użyciu LDAP na podstawie nazwy użytkownika otrzymanej z biblioteki DLL, a następnie aktualizuje konto Google za pomocą interfejsu Directory API. Gdy hasła są zmieniane przy użyciu interfejsu Directory API, niektóre tokeny OAuth aplikacji są unieważniane. W takiej sytuacji użytkownicy mogą zostać poproszeni o ponowne zalogowanie się w aplikacjach przy użyciu swojej nazwy użytkownika i hasła.
  • Password Sync działa zgodnie z zasadami programowania filtrowania haseł ustalonymi przez firmę Microsoft. Szczegółowe informacje znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
7560006453726600586
true
Wyszukaj w Centrum pomocy
true
true
true
false
false