Sie können festlegen, was durch Google Cloud Directory Sync (GCDS) geprüft und aktualisiert werden soll. Mit Ausschlussregeln lassen sich Daten wie z. B. bestimmte Nutzer, Profile oder Gruppen von einer Synchronisierung ausschließen. Wenn eine Entität mithilfe einer solchen Regel ausgeschlossen wird, führt GCDS die Synchronisierung so aus, als würde diese Entität nicht existieren.
Hinweise zu LDAP-Daten
Wenn es in Ihrem LDAP-Verzeichnisserver Elemente gibt, die Sie nicht Ihrem Google-Konto hinzufügen möchten, erstellen Sie eine LDAP-Suchregel, damit diese Entitäten nicht zurückgegeben werden. Weitere Informationen finden Sie unter Suchregeln optimieren.
Wenn das nicht möglich ist, verwenden Sie eine LDAP-Ausschlussregel. Sie können auch eine Google-Ausschlussregel für Entitäten in Ihrem Google-Konto verwenden, die nicht in Ihrer LDAP-Domain vorhanden sind und in Ihrem Google-Konto verbleiben sollen.
Mit Ausschlussregeln steuern, was durch GCDS synchronisiert wird
Ausschlussregeln hinzufügen, löschen oder die Priorität einer Ausschlussregel ändernAusschlussregel hinzufügen
- Klicken Sie auf dem Tab "Ausschlussregeln" auf Ausschlussregel hinzufügen.
- Geben Sie die folgenden Informationen an:
- Typ: Welche Art von Daten soll aus dem Menü ausgeschlossen werden?
- Übereinstimmungstyp: Welcher Regeltyp soll für den Filter angewendet werden? Wählen Sie im Menü eine der folgenden Optionen aus:
- Genaue Übereinstimmung: Die Daten müssen exakt mit dem Text der Regel übereinstimmen.
- Teilstring-Übereinstimmung: Die Daten müssen den Text der Regel als Teilstring enthalten.
- Regulärer Ausdruck: Die Daten müssen dem angegebenen regulären Ausdruck entsprechen.
- Ausschlussregel: Geben Sie den übereinstimmenden String oder den regulären Ausdruck für die Ausschlussregel ein.
- Klicken Sie auf OK.
Die Priorität einer Ausschlussregel ändern
Ausschlussregeln werden in der Reihenfolge angewendet, in der sie in der Tabelle erscheinen. So ändern Sie die Reihenfolge:
- Klicken Sie auf dem Tab Ausschlussregeln auf die Ausschlussregel.
- Klicken Sie auf den Aufwärts- oder Abwärtspfeil, um die Priorität zu erhöhen oder herabzusetzen.
Ausschlussregel löschen
- Klicken Sie auf dem Tab Ausschlussregeln auf die Ausschlussregel.
- Klicken Sie auf das X.
Wenn auf Ihrem LDAP-Verzeichnisserver Daten vorhanden sind, die Ihren Suchregeln entsprechen, Sie diese jedoch nicht einer Google-Domain hinzufügen möchten, können Sie eine LDAP-Ausschlussregel verwenden. Dadurch werden diese Daten von der Synchronisierung ausgeschlossen.
Organisationseinheiten
Zweck der Ausschlussregel | Auf Ihrem LDAP-Server befinden sich Organisationseinheiten, die Ihren Suchregeln entsprechen, aber nicht einer Google-Domain hinzugefügt werden sollen. |
Ausschlusstyp | DN einer Organisationseinheit
Basis der Ausschlussregel ist der Distinguished Name (DN) der auszuschließenden Organisationseinheit. |
Beispiel | Mehrere Organisationseinheiten werden nicht mehr verwendet, da zwei Niederlassungen zusammengelegt wurden. Die alten Organisationseinheiten haben alle "stpauli" im DN.
|
Nutzer
Zweck der Ausschlussregel | Sie haben Nutzer auf Ihrem LDAP-Verzeichnisserver, die Ihren Suchregeln entsprechen, aber Sie möchten nicht, dass sie einer Google-Domain hinzugefügt werden. |
Ausschlusstyp | Gibt die LDAP-Daten an, die ausgeschlossen werden sollen.
|
Beispiel | Fügen Sie eine separate Regel für jeden Nutzer hinzu, der die Google-Domain deaktiviert hat und nicht synchronisiert werden soll. Erste Regel:
Zweite Regel:
|
Gruppen
Zweck der Ausschlussregel | Sie haben Einträge auf Ihrem LDAP-Server, die mit einer Regel für Mailinglisten übereinstimmen, möchten diese jedoch nicht als Mailingliste in einer Google-Domain verwenden. |
Ausschlusstyp | Gibt die LDAP-Daten an, die ausgeschlossen werden sollen.
|
Beispiel | Einige Mailinglisten werden nicht mehr verwendet, da zwei Büros zusammengelegt wurden. Die alten Listen enthalten alle "stpauli" in der Adresse.
|
Nutzerprofil
Zweck der Ausschlussregel | Sie haben Nutzerprofil-Informationen auf Ihrem LDAP-Server, die Sie nicht mit einer Google-Domain synchronisieren möchten. |
Beispiel | Drucker werden als LDAP-Nutzer aufgeführt und stimmen mit der betreffenden LDAP-Abfrage überein. Die Drucker haben alle das Wort "Drucker" im Namen. Durch die Regel wird nach diesem Teilstring gesucht.
|
Freigegebene Kontakte
Zweck der Ausschlussregel | Auf Ihrem LDAP-Verzeichnisserver befinden sich Kontakte, die Ihren Suchregeln entsprechen, aber nicht zu einer Google-Domain hinzugefügt werden sollen. |
Beispiel | Auf dem LDAP-Server sind etwa 500 Testnutzer aufgeführt. Diese werden jedoch nur für interne Tests verwendet. Die Namen aller Testnutzer folgen demselben Muster: interner-testX, wobei "X" eine Zahl darstellt. Außerdem befinden sich alle Testnutzer in derselben Domain:
|
Kalenderressourcen
Zweck der Ausschlussregel | Auf Ihrem LDAP-Server befinden sich Elemente, die Ihren Suchregeln für Kalenderressourcen entsprechen. Sie sollen jedoch nicht als Kalenderressourcen zu einer Google-Domain hinzugefügt werden. |
Ausschlusstypen | Gibt die LDAP-Daten an, die ausgeschlossen werden sollen.
Wenn Sie Ressourcen-IDs und Anzeigenamen von Ressourcen ausschließen möchten, müssen Sie zwei Ausschlussregeln erstellen. |
Beispiel | Drucker werden als LDAP-Ressourcen aufgeführt und stimmen mit der betreffenden LDAP-Abfrage überein. Alle Drucker haben das Wort "Drucker" im Namen.
|
Möglicherweise enthält Ihr Google-Konto Entitäten, z. B. Nutzer oder Gruppen, die nicht in Ihrer LDAP-Domain vorhanden sind und die Sie in Ihrem Google-Konto behalten möchten. Verwenden Sie dann eine Google-Domainausschlussregel, damit die Google-Entitäten bei der Synchronisierung erhalten bleiben:
- Klicken Sie auf den Tab Konfiguration der Google-Domain.
- Klicken Sie auf dem Tab "Ausschlussregeln" auf Ausschlussregel hinzufügen.
- Wählen Sie unter Typ in der Liste Folgendes aus:
- Vollständiger Pfad der Organisation, um Organisationen und deren Nutzer auszuschließen
- E-Mail-Adresse des Nutzers, um Nutzer auszuschließen
- Alias-E-Mail-Adresse, um Nutzeraliasse auszuschließen
- Gruppen-E-Mail-Adresse, um Gruppen auszuschließen
- E-Mail-Adresse des Gruppenmitglieds, um Gruppenmitglieder auszuschließen
- Primärer Synchronisierungsschlüssel für das Nutzerprofil, um Nutzerprofile nach Synchronisierungsschlüssel auszuschließen
- Primärer Synchronisierungsschlüssel für freigegebene Kontakte, um freigegebene Kontakte nach Synchronisierungsschlüssel auszuschließen
- Kalenderressourcen-ID, um Ressourcen nach ID auszuschließen
- Anzeigename der Kalenderressource, um nach Anzeigenamen auszuschließen
- Kalenderressourcentyp, um nach Kategorie auszuschließen
- Klicken Sie auf OK.
Wenn Sie in Ihren Google- und LDAP-Domains Entitäten haben, die nicht in Ihrem Google-Konto aktualisiert werden sollen, verwenden Sie zwei Ausschlussregeln:
- Eine Google-Domainausschlussregel zum Ausschließen der Entitäten aus dem Google-Konto.
- Eine LDAP-Domainausschlussregel, um die Entitäten aus der LDAP-Domain auszuschließen
Bei der Synchronisierung bleiben diese Entitäten dann unverändert in der Google-Konto erhalten.
Beispiel: Sie müssen in Ihrem Google-Konto ein Nutzerattribut, etwa eine Organisationseinheit, beibehalten, das sich vom Nutzerattribut in der LDAP-Domain unterscheidet. Mithilfe von zwei Ausschlussregeln sorgen Sie dafür, dass die Attribute bei einer Synchronisierung nicht geändert werden. Weitere Informationen finden Sie unter Verschiedene Nutzerattribute während der Synchronisierung beibehalten.
Beispiele für Ausschlussregeln
Ausschlussregel für LDAP-NutzerIn diesem Beispiel werden Drucker als LDAP-Nutzer aufgeführt und stimmen mit der LDAP-Abfrage überein. Sie möchten jedoch sicherstellen, dass Drucker nicht als Google-Nutzer identifiziert werden. Alle Drucker enthalten im LDAP-Verzeichnisnamen das Wort "Drucker". Durch die Regel wird nach diesem Teilstring gesucht.
- Typ: Primäre Adresse
- Übereinstimmungstyp: Teilstring-Übereinstimmung
- Ausschlussregel: Drucker
Ein paar Konferenzräume werden in Büros umgewandelt. Sie möchten sicherstellen, dass sie nicht als Kalenderressourcen importiert werden. Fügen Sie für jeden Konferenzraum eine eigene Regel hinzu.
Erste Regel:
- Typ: Anzeigename der Kalenderressource
- Übereinstimmungstyp: Teilstring-Übereinstimmung oder genaue Übereinstimmung
- Ausschlussregel: Konferenzraum-Alpenblick
Zweite Regel:
- Typ: Anzeigename der Kalenderressource
- Übereinstimmungstyp: Teilstring-Übereinstimmung oder genaue Übereinstimmung
- Ausschlussregel: Konferenzraum-Schwarzwald
Auf dem LDAP-Server werden 500 Test-Mailinglisten aufgeführt. Diese werden jedoch nur zu internen Testzwecken verwendet. Alle Testnutzer befinden sich in derselben Domain und folgen demselben Namensmuster, also "interner-testX", wobei X eine Zahl ist.
- Typ: Gruppenadresse
- Übereinstimmungstyp: regulärer Ausdruck
- Ausschlussregel: interner-test[0-9]*@example.com
Wenn ein Nutzer nicht in Ihrem LDAP-Verzeichnisserver aufgeführt ist, wird er durch GCDS aus der Liste der Google-Nutzer und aus Google Groups gelöscht. Verwenden Sie für Nutzer und Gruppen, die nicht in Ihrem LDAP-Verzeichnis vorhanden sind, eine Ausschlussregel, damit sie in Ihrem Google Workspace- oder Cloud Identity-Konto erhalten bleiben. Google-Administratorkonten werden standardmäßig ausgeschlossen. Sie müssen daher keine Ausschlussregel für diese Konten erstellen.
Option 1: Organisationseinheit verwenden, um Nutzer zu behalten
Verschieben Sie die Nutzerkonten in eine eigens dafür vorgesehene Organisationseinheit und erstellen Sie in den Konfigurationseinstellungen für Google-Domains des Konfigurationsmanagers eine Ausschlussregel dafür.
- Typ: Organisation – vollständiger Pfad
- Übereinstimmungstyp: genaue Übereinstimmung
- Ausschlussregel: /OUPath/MyExcludedOU
Option 2: E-Mail-Adresse verwenden
Erstellen Sie in den Einstellungen für die Konfiguration der Google-Domain des Konfigurationsmanagers eine Ausschlussregel für Übereinstimmungen mit E-Mail-Adressen.
- Typ: E-Mail-Adresse des Nutzers oder der Gruppe
- Übereinstimmungstyp: genaue Übereinstimmung
- Ausschlussregel: nutzer@beispiel.de
Option 3: Alle anderen Organisationen ausschließen
Wenn Sie Ihre LDAP-Nutzer in eine Organisationseinheit auf oberster Ebene und ihre zugehörigen Unterorganisationen synchronisieren möchten, müssen alle anderen Organisationseinheiten auf oberster Ebene ausgeschlossen werden. Der folgende reguläre Ausdruck schließt alle Organisationseinheiten auf oberster Ebene aus, die nicht mit „MyIncludedOU“ beginnen. Fügen Sie keinen Schrägstrich am Anfang ein, wenn Sie reguläre Ausdrücke verwenden.
- Typ: Organisation – vollständiger Pfad
- Übereinstimmungstyp: regulärer Ausdruck
- Ausschlussregel: —^(?!MyIncludedOU).*