U kunt LDAP-zoekregels gebruiken om gegevens van uw LDAP-directoryserver te synchroniseren met het Google-account van uw organisatie met Google Cloud Directory Sync (GCDS). Als u een zoekregel toevoegt, worden gegevens die overeenkomen met de zoekregel gesynchroniseerd tijdens de volgende synchronisatie. Gegevens die niet overeenkomen met de zoekregel, worden verwijderd.
Belangrijk: Google biedt geen support voor LDAP-query's en spoort geen fouten op in deze query's.
Basissyntaxis voor LDAP-query's
U kunt elke aangepaste LDAP-zoekopdracht maken die u wilt, zolang deze maar voldoet aan RFC 2254.
| Operator | Teken | Gebruik |
|---|---|---|
| Is gelijk aan | = | Hiermee wordt een filter gemaakt dat vereist dat een veld een bepaalde waarde bevat. |
| Alle | * | Dit veld kan gelijk zijn aan alles, behalve NULL. |
| Haakjes | ( ) | Hiermee worden filters gescheiden zodat andere logische operators kunnen functioneren. |
| En | & | Hiermee worden filters samengevoegd. Aan alle vereisten in de serie moet worden voldaan. |
| Of | | | Hiermee worden filters samengevoegd. Aan minstens één vereiste in de serie moet worden voldaan. |
| Niet | ! | Hiermee worden alle objecten uitgesloten die voldoen aan het filter. |
Een LDAP-zoekregel toevoegen
U kunt deze stappen gebruiken voor elk type zoekregel.
- Ga in Configuratiebeheer naar Gebruikersaccounts
Zoekregels.
- Klik op Zoekregel toevoegen.
- Kies een optie in het menu om het bereik van de zoekregel te selecteren:
- Substructuur: De zoekregel geldt voor het Base DN-object en alle onderliggende objecten.
- Eén niveau: De zoekregel wordt toegepast op de direct onderliggende elementen van het Base DN-object, maar niet op de Base DN zelf.
- Object: De zoekregel geldt alleen voor het Base DN-object.
- Vul bij Regel de zoekregel in met de LDAP-zoekopdrachtsyntaxis.
Voorbeelden staan hieronder.
- Kies een optie bij Base DN:
- Voer de base DN in.
- Laat het veld leeg om de Base DN te gebruiken die is opgegeven op de pagina LDAP-verbinding.
- Klik op LDAP-query testen om de resultaten van uw query te controleren.
U kunt het aantal gevonden objecten en de eerste 5 resultaten bekijken. De resultaten bevatten geen gebruikers zonder e-mailadres. - Klik op OK.
- (Optioneel) Herhaal de stappen om nog een zoekregel toe te voegen.
Gegevens uitsluiten van een zoekregel
Uitsluitingsregels
U kunt uitsluitingsregels gebruiken om gegevens uit te sluiten op de LDAP-directoryserver waarvan u niet wilt dat deze worden gesynchroniseerd met uw Google-account. U kunt bijvoorbeeld een LDAP-zoekregel gebruiken om te specificeren dat alle e-mailadressen moeten worden gesynchroniseerd. Gebruik vervolgens een uitsluitingsregel om e-mailadressen te negeren die beginnen met een bepaalde tekenreeks.
Zoekopdrachten naar gebruikers
Met een zoekopdracht naar gebruikers identificeert GCDS de gebruikers in uw Google-account die overeenkomen met de zoekopdracht. Als een Google-gebruiker niet overeenkomt met de resultaten, voert GCDS de synchronisatie uit alsof de gebruiker niet bestaat.
Als u een zoekopdracht naar gebruikers uitvoert, moet u zorgen dat de LDAP-zoekregels geen gebruikers retourneren die bestaan op Google, maar niet in de resultaten. Anders probeert GCDS de gebruikers te maken tijdens elke synchronisatie.
Bijvoorbeeld: yuri@altostrat.com bestaat in uw Google-account en wordt ook geretourneerd in de LDAP-zoekregel. Als u email:m* gebruikt als zoekopdracht naar gebruikers, probeert GCDS tijdens elke synchronisatie yuri@altostrat.com te maken, omdat yuri@altostrat.com niet begint met de letter m.
Zie Gegevens weglaten met uitsluitingsregels en query's voor meer informatie.
Voorbeelden van LDAP-query's en -zoekregels
De volgende voorbeelden zijn algemeen en zijn wellicht niet van toepassing op uw omgeving.Eventuele regeleinden zijn alleen bedoeld voor een betere pagina-indeling.
Gedeelte openen | Alles samenvouwen en naar bovenkant gaan
Basis LDAP-query's- Alle objecten (kan laadproblemen veroorzaken)
objectClass=*
- Alle gebruikersobjecten met de categorie 'person'
(&(objectClass=user)(objectCategory=person))
- Alleen mailinglijsten
(objectCategory=group)
- Alleen openbare mappen
(objectCategory=publicfolder)
- Alle gebruikersobjecten, behalve die met een primair e-mailadres dat begint met 'test'
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Alle gebruikersobjecten, behalve die met een primair e-mailadres dat eindigt op 'test'
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Alle gebruikersobjecten, behalve die met een primair e-mailadres dat het woord 'test' bevat
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Alle gebruikers- en aliasobjecten met de categorie 'person' die deel uitmaken van een groep of distributielijst
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Alle gebruikersobjecten met de categorie 'person', alle groepsobjecten en alle contacten, behalve die met een extensionAttribute9-waarde
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Alle gebruikers die lid zijn van de groep met de DN 'CN=Group,OU=Users,DC=Domain,DC=com'
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Retourneert alle gebruikers
- Voor Active Directory: (&(objectCategory=person)(objectClass=user))
- Voor OpenLDAP: (objectClass=inetOrgPerson)
- Voor HCL Domino: (objectClass=dominoPerson)
- Alle objecten waarvan het e-mailadres de categorie 'person' of 'group' heeft (in een Domino LDAP-directory)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Alle actieve (niet uitgeschakelde) gebruikers met een e-mailadres in Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Alle gebruikers die lid zijn van Groep_1 of Groep_2, zoals gedefinieerd door de groeps-DN
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Groep_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Groep_2,cn=Users,DC=Domain,DC=com)))
- Alle gebruikers met de extensionAttribute1-waarde 'Engineering' of 'Sales'
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- De groepsleden die zijn genest onder de opgegeven groep telkens ophalen in Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Groepslidmaatschapsquery met ObjectGUID in Active Directory. De hexadecimale waarde van het ObjectGUID-kenmerk van een groep is 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Uw zoekregels optimaliseren
U kunt zoekregels optimaliseren om de synchronisatieprestaties te verbeteren.
| Voorbeeld 1: Gebruikers retourneren met een e-mailadres | Toepassing |
|---|---|
| Gebruikerszoekregel: (&(objectClass=user)(objectCategory=person)(mail=*)) | In plaats van een basisregel te gebruiken om alle gebruikers te retourneren, kunt u uw regel optimaliseren met de zoekopdracht mail=.
De synchronisatie werkt efficiënter omdat de LDAP-server en GCDS geen invoeren hoeven te verwerken die anders zouden worden verwijderd. |
| Voorbeeld 2: Gebruikers retourneren met een tekenreeks die overeenkomt met een e-mailadres | Toepassing |
|---|---|
| Gebruikerszoekregel: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | In plaats van een basisregel en een uitsluitingsregel te gebruiken om alle gebruikers te retourneren met een e-mailadres zonder sales, gebruikt u een geoptimaliseerde regel met een overeenkomende tekenreeks.
De LDAP-server en GCDS hoeven geen invoeren te verwerken die anders zouden worden verwijderd. U hoeft geen uitsluitingsregel te maken of rekening te houden met het prioriteitsniveau. |
Gerelateerd onderwerp
Uw LDAP-directory voorbereiden
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.