Sie können LDAP-Suchregeln verwenden, um Daten von Ihrem LDAP-Verzeichnisserver mit dem Google-Konto Ihrer Organisation mit Google Cloud Directory Sync (GCDS) zu synchronisieren. Wenn Sie eine Suchregel hinzufügen, werden Daten, die mit der Suchregel übereinstimmen, beim nächsten Synchronisierungsvorgang synchronisiert. Daten, die nicht mit der Suchregel übereinstimmen, werden entfernt.
Wichtig: Google behebt keine Fehler und bietet keinen Support für LDAP-Abfragen.
Grundlegende LDAP-Abfragesyntax
Sie können eine benutzerdefinierte LDAP-Suchabfrage erstellen, vorausgesetzt sie erfüllt RFC 2254.
Operator | Zeichen | Verwendung |
---|---|---|
Ist gleich | = | Erstellt einen Filter, der ein Feld mit einem bestimmten Wert haben muss. |
Alle | * | Stellt ein Feld dar, das alle Werte enthalten kann außer Null. |
Klammern | ( ) | Trennt Filter voneinander, damit andere logische Operatoren wirksam werden können. |
Und | & | Verbindet Filter. Alle Bedingungen in der Serie müssen erfüllt sein. |
Oder | | | Verbindet Filter. Mindestens eine Bedingung in der Serie muss erfüllt sein. |
Nicht | ! | Schließt alle Objekte aus, die mit dem Filter übereinstimmen. |
LDAP-Suchregel hinzufügen
Sie können diese Schritte für jede Art von Suchregel ausführen.
- Gehen Sie im Konfigurationsmanager zu Nutzerkonten Suchregeln.
- Klicken Sie auf Suchregel hinzufügen.
- Wählen Sie im Menü eine Option aus, um den Bereich der Suchregel festzulegen:
- Unterstruktur: Die Suchregel gilt für das Basis-DN-Objekt und alle untergeordneten Objekte.
- Eine Stufe: Die Suchregel gilt für die unmittelbaren untergeordneten Elemente des Basis-DN-Objekts, aber nicht für das Basis-DN selbst.
- Objekt: Die Suchregel gilt nur für das Basis-DN-Objekt.
- Geben Sie unter Regel die Suchregel mit der LDAP-Suchanfragesyntax ein.
Siehe nachstehende Beispiele
- Wählen Sie für Basis-DN eine Option aus:
- Geben Sie den Basis-DN ein.
- Lassen Sie das Feld leer, wenn Sie den auf der Seite LDAP-Verbindung angegebenen Basis-DN verwenden möchten.
- Klicken Sie auf LDAP-Abfrage testen, um die Ergebnisse der Abfrage zu prüfen.
Sie können sich die Anzahl der gefundenen Objekte und die ersten 5 Ergebnisse ansehen. Die Ergebnisse enthalten keine Nutzer ohne E-Mail-Adresse. - Klicken Sie auf OK.
- Optional: Wiederholen Sie diese Schritte, um eine weitere Suchregel hinzuzufügen.
Daten aus einer Suchregel ausschließen
Ausschlussregeln
Sie können Ausschlussregeln verwenden, um Daten auf dem LDAP-Verzeichnisserver auszuschließen, die nicht mit dem Google-Konto Ihrer Organisation synchronisiert werden sollen. Sie können beispielsweise mit einer LDAP-Suchregel festlegen, dass alle E-Mail-Adressen synchronisiert werden. Verwenden Sie dann eine Ausschlussregel, um alle E-Mail-Adressen zu ignorieren, die mit einem bestimmten String beginnen.
Suchanfragen von Nutzern
Anhand der Suchanfrage eines Nutzers identifiziert GCDS die Nutzer in Ihrem Google-Konto, die mit den Ergebnissen der Suchanfrage übereinstimmen. Wenn ein Google-Nutzer nicht mit den Ergebnissen übereinstimmt, führt GCDS die Synchronisierung so aus, als wäre der Nutzer nicht vorhanden.
Wenn Sie eine Nutzersuchanfrage verwenden, achten Sie darauf, dass die LDAP-Suchregeln keine Nutzer zurückgeben, die zwar in Google vorhanden, aber nicht in den Abfrageergebnissen enthalten sind. Andernfalls versucht GCDS bei jeder Synchronisierung, die Nutzer zu erstellen.
Beispiel: yuri@altostrat.com ist in Ihrem Google-Konto vorhanden und wird auch in der LDAP-Suchregel zurückgegeben. Wenn Sie für die Nutzerabfrage email:m* verwenden, versucht GCDS bei jeder Synchronisierung, yuri@altostrat.com zu erstellen, da yuri@altostrat.com nicht mit dem Buchstaben "m" beginnt.
Weitere Informationen finden Sie im Hilfeartikel Ausschlussregeln mit GCDS verwenden.
Beispiele für LDAP-Abfragen und -Suchregeln
Die folgenden Beispiele sind allgemein und lassen sich möglicherweise nicht auf Ihre Umgebung anwenden. Zeilenumbrüche dienen nur der Seitenformatierung.
Abschnitt öffnen | Alle minimieren und nach oben
Einfache LDAP-Abfragen- Alle Objekte (kann zu Ladeproblemen führen)
objectClass=*
- Alle Nutzerobjekte, die als „Person“ gekennzeichnet sind
(&(objectClass=user)(objectCategory=person))
- Nur Mailinglisten
(objectCategory=group)
- Nur öffentliche Ordner
(objectCategory=publicfolder)
- Alle Nutzerobjekte außer Objekten mit primären E-Mail-Adressen, die mit „test“ beginnen
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Alle Nutzerobjekte außer Objekten mit primären E-Mail-Adressen, die mit „test“ enden
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Alle Nutzerobjekte außer Objekten mit primären E-Mail-Adressen, die das Wort „test“ enthalten
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Alle Nutzer- und Alias-Objekte, die als „Person“ gekennzeichnet sind und Teil einer Gruppe oder Verteilerliste sind
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Alle Nutzerobjekte, die als „Person“ gekennzeichnet sind, alle Gruppenobjekte und alle Kontakte, aber nicht Objekte mit einem Wert, der als „extensionAttribute9“ definiert ist
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Alle Nutzer, die Mitglieder der durch den DN „CN=Group,OU=Users,DC=Domain,DC=com“ identifizierten Gruppe sind
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Gibt alle Nutzer zurück
- Für Active Directory: (&(objectCategory=person)(objectClass=user))
- Für OpenLDAP: (objectClass=inetOrgPerson)
- Für HCL Domino: (objectClass=dominoPerson)
- WAlle Objekte, deren E-Mail-Adresse (in einem Domino-LDAP-Verzeichnis) als „Person“ oder „Gruppe“ gekennzeichnet ist
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Alle aktiven (nicht deaktivierten) Nutzer mit E-Mail-Adressen in Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Alle Nutzer, die gemäß dem Gruppen-DN Mitglieder von Gruppe_1 oder Gruppe_2 sind
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Alle Nutzer, die als „extensionAttribute1“-Wert „Engineering“ oder „Sales“ haben
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Die Gruppenmitglieder, die unter der angegebenen Gruppe in Active Directory verschachtelt sind, rekursiv abrufen
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Abfrage der Gruppenmitgliedschaft mit ObjectGUID in Active Directory. Der Hexadezimalwert des ObjectGUID-Attributs einer Gruppe lautet 4e542fe785b1bb274e542fe785b1bb27.
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Suchregeln optimieren
Sie können Suchregeln optimieren, um die Synchronisierungsleistung zu verbessern.
Beispiel 1: Nutzer mit E-Mail-Adresse zurückgeben | Anwendungsfall |
---|---|
Nutzersuchregel: (&(objectClass=user)(objectCategory=person)(mail=*)) | Anstatt eine grundlegende Regel zu verwenden, mit der alle Nutzer zurückgegeben werden, können Sie die Regel mit der Abfrage mail= optimieren.
Die Synchronisierung funktioniert effizienter, da der LDAP-Server und GCDS keine Einträge verarbeiten müssen, die andernfalls verworfen würden. |
Beispiel 2: Nutzer zurückgeben, deren E-Mail-Adresse mit dem String übereinstimmt | Anwendungsfall |
---|---|
Nutzersuchregel: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=vertrieb*))) | Verwenden Sie eine optimierte Regel mit einem Abgleich-String, anstatt mit einer einfachen Regel und einer Ausschlussregel alle Nutzer zurückzugeben, deren E-Mail-Adresse nicht vertrieb enthält.
Der LDAP-Server und GCDS müssen keine Einträge verarbeiten, die andernfalls verworfen würden. Sie müssen außerdem weder eine Ausschlussregel einrichten noch die Prioritätsebene berücksichtigen. |
Weitere Informationen
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.