Ausschlussregeln mit GCDS verwenden

Sie können festlegen, was durch Google Cloud Directory Sync (GCDS) geprüft und aktualisiert werden soll. Mit Ausschlussregeln lassen sich Daten wie z. B. bestimmte Nutzer, Profile oder Gruppen von einer Synchronisierung ausschließen. Wenn eine Entität mithilfe einer solchen Regel ausgeschlossen wird, führt GCDS die Synchronisierung so aus, als würde diese Entität nicht existieren.

Hinweise zu LDAP-Daten

Wenn es in Ihrem LDAP-Verzeichnisserver Elemente gibt, die Sie nicht Ihrem Google-Konto hinzufügen möchten, erstellen Sie eine LDAP-Suchregel, damit diese Entitäten nicht zurückgegeben werden. Weitere Informationen finden Sie unter Suchregeln optimieren

Wenn das nicht möglich ist, verwenden Sie eine LDAP-Ausschlussregel. Sie können auch eine Google-Ausschlussregel für Entitäten in Ihrem Google-Konto verwenden, die nicht in Ihrer LDAP-Domain vorhanden sind und in Ihrem Google-Konto verbleiben sollen.

Mit Ausschlussregeln steuern, was durch GCDS synchronisiert wird

Alle öffnen   |   Alle schließen

Ausschlussregeln hinzufügen, löschen oder die Priorität einer Ausschlussregel ändern

Ausschlussregel hinzufügen

  1. Klicken Sie auf dem Tab "Ausschlussregeln" auf Ausschlussregel hinzufügen.
  2. Geben Sie die folgenden Informationen an: 
    • Typ: Welche Art von Daten soll aus dem Menü ausgeschlossen werden?
    • Übereinstimmungstyp: Welcher Regeltyp soll für den Filter angewendet werden? Wählen Sie im Menü eine der folgenden Optionen aus:
      • Genaue Übereinstimmung: Die Daten müssen exakt mit dem Text der Regel übereinstimmen.
      • Teilstring-Übereinstimmung: Die Daten müssen den Text der Regel als Teilstring enthalten.
      • Regulärer Ausdruck: Die Daten müssen dem angegebenen regulären Ausdruck entsprechen.
    • Ausschlussregel: Geben Sie den übereinstimmenden String oder den regulären Ausdruck für die Ausschlussregel ein.
  3. Klicken Sie auf OK.

Die Priorität einer Ausschlussregel ändern

Ausschlussregeln werden in der Reihenfolge angewendet, in der sie in der Tabelle erscheinen. So ändern Sie die Reihenfolge:

  1. Klicken Sie auf dem Tab Ausschlussregeln auf die Ausschlussregel.
  2. Klicken Sie auf den Aufwärts- oder Abwärtspfeil, um die Priorität zu erhöhen oder herabzusetzen.

Ausschlussregel löschen

  1. Klicken Sie auf dem Tab Ausschlussregeln auf die Ausschlussregel.
  2. Klicken Sie auf das X.
Regeln für LDAP-Daten verwenden

Wenn auf Ihrem LDAP-Verzeichnisserver Daten vorhanden sind, die Ihren Suchregeln entsprechen, Sie diese jedoch nicht einer Google-Domain hinzufügen möchten, können Sie eine LDAP-Ausschlussregel verwenden. Dadurch werden diese Daten von der Synchronisierung ausgeschlossen.

Organisationseinheiten

Zweck der Ausschlussregel Auf Ihrem LDAP-Server befinden sich Organisationseinheiten, die Ihren Suchregeln entsprechen, aber nicht einer Google-Domain hinzugefügt werden sollen.
Ausschlusstyp DN einer Organisationseinheit

Basis der Ausschlussregel ist der Distinguished Name (DN) der auszuschließenden Organisationseinheit.
Beispiel Mehrere Organisationseinheiten werden nicht mehr verwendet, da zwei Niederlassungen zusammengelegt wurden. Die alten Organisationseinheiten haben alle "stpauli" im DN.
  • Übereinstimmungstyp: Teilstring-Übereinstimmung
  • Regel: stpauli

Nutzer

Zweck der Ausschlussregel Sie haben Nutzer auf Ihrem LDAP-Verzeichnisserver, die Ihren Suchregeln entsprechen, aber Sie möchten nicht, dass sie einer Google-Domain hinzugefügt werden.
Ausschlusstyp Gibt die LDAP-Daten an, die ausgeschlossen werden sollen.
  • Primäre Adresse: Primäre Adressen, die dieser Regel entsprechen, werden ausgeschlossen.
  • Alias-Adresse: Alias-Adressen, die dieser Regel entsprechen, werden ausgeschlossen.
Wenn Sie sowohl primäre Adressen als auch Alias-Adressen ausschließen möchten, müssen Sie zwei Ausschlussregeln erstellen.
Beispiel Fügen Sie eine separate Regel für jeden Nutzer hinzu, der die Google-Domain deaktiviert hat und nicht synchronisiert werden soll. Erste Regel:
  • Ausschlusstyp: primäre Adresse
  • Übereinstimmungstyp: Teilstring-Übereinstimmung oder genaue Übereinstimmung
  • Regel: atif

Zweite Regel:

  • Ausschlusstyp: primäre Adresse
  • Übereinstimmungstyp: Teilstring-Übereinstimmung oder genaue Übereinstimmung
  • Regel: svetlana

Gruppen

Zweck der Ausschlussregel Sie haben Einträge auf Ihrem LDAP-Server, die mit einer Regel für Mailinglisten übereinstimmen, möchten diese jedoch nicht als Mailingliste in einer Google-Domain verwenden.
Ausschlusstyp Gibt die LDAP-Daten an, die ausgeschlossen werden sollen.
  • Gruppenname: Schließt eine Gruppe aus, deren Name mit der Regel übereinstimmt.
  • Gruppenadresse: Schließt eine Gruppe aus, deren E-Mail-Adresse mit der Regel übereinstimmt.
  • Mitgliedsadresse: Schließt einen Nutzer aus der Gruppe aus, dessen primäre E-Mail-Adresse mit der Regel übereinstimmt.
Beispiel Einige Mailinglisten werden nicht mehr verwendet, da zwei Büros zusammengelegt wurden. Die alten Listen enthalten alle "stpauli" in der Adresse.
  • Übereinstimmungstyp: Teilstring-Übereinstimmung
  • Regel: stpauli

Nutzerprofil

Zweck der Ausschlussregel Sie haben Nutzerprofil-Informationen auf Ihrem LDAP-Server, die Sie nicht mit einer Google-Domain synchronisieren möchten.
Beispiel Drucker werden als LDAP-Nutzer aufgeführt und stimmen mit der betreffenden LDAP-Abfrage überein. Die Drucker haben alle das Wort "Drucker" im Namen. Durch die Regel wird nach diesem Teilstring gesucht.
  • Übereinstimmungstyp: Teilstring-Übereinstimmung
  • Regel: Drucker

Freigegebene Kontakte

Zweck der Ausschlussregel Auf Ihrem LDAP-Verzeichnisserver befinden sich Kontakte, die Ihren Suchregeln entsprechen, aber nicht zu einer Google-Domain hinzugefügt werden sollen.
Beispiel Auf dem LDAP-Server sind etwa 500 Testnutzer aufgeführt. Diese werden jedoch nur für interne Tests verwendet. Die Namen aller Testnutzer folgen demselben Muster: interner-testX, wobei "X" eine Zahl darstellt. Außerdem befinden sich alle Testnutzer in derselben Domain:
  • Übereinstimmungstyp: regulärer Ausdruck
  • Regel: interner-test[0-9]*@example.com

Kalenderressourcen

Zweck der Ausschlussregel Auf Ihrem LDAP-Server befinden sich Elemente, die Ihren Suchregeln für Kalenderressourcen entsprechen. Sie sollen jedoch nicht als Kalenderressourcen zu einer Google-Domain hinzugefügt werden.
Ausschlusstypen Gibt die LDAP-Daten an, die ausgeschlossen werden sollen.
  • ID der Kalenderressource: GCDS schließt Kalenderressourcen aus, wenn das in den LDAP-Attributen für Kalenderressourcen angegebene ID-Attribut der Kalenderressource mit diesem Muster übereinstimmt.
  • Anzeigename der Kalenderressource: GCDS schließt Kalenderressourcen aus, wenn das in den LDAP-Attributen für Kalenderressourcen angegebene Attribut für den Anzeigenamen der Kalenderressource mit diesem Muster übereinstimmt.

Wenn Sie Ressourcen-IDs und Anzeigenamen von Ressourcen ausschließen möchten, müssen Sie zwei Ausschlussregeln erstellen.
Beispiel Drucker werden als LDAP-Ressourcen aufgeführt und stimmen mit der betreffenden LDAP-Abfrage überein. Alle Drucker haben das Wort "Drucker" im Namen.
  • Ausschlusstyp: Ressourcen-ID des Kalenders
  • Übereinstimmungstyp: Teilstring-Übereinstimmung
  • Regel: Drucker
Regeln für Google-Daten verwenden

Möglicherweise enthält Ihr Google-Konto Entitäten, z. B. Nutzer oder Gruppen, die nicht in Ihrer LDAP-Domain vorhanden sind und die Sie in Ihrem Google-Konto behalten möchten. Verwenden Sie dann eine Google-Domainausschlussregel, damit die Google-Entitäten bei der Synchronisierung erhalten bleiben:

  1. Klicken Sie auf den Tab Konfiguration der Google-Domain.
  2. Klicken Sie auf dem Tab "Ausschlussregeln" auf Ausschlussregel hinzufügen.
  3. Wählen Sie unter Typ in der Liste Folgendes aus:
    • Vollständiger Pfad der Organisation, um Organisationen und deren Nutzer auszuschließen
    • E-Mail-Adresse des Nutzers, um Nutzer auszuschließen 
    • Alias-E-Mail-Adresse, um Nutzeraliasse auszuschließen
    • Gruppen-E-Mail-Adresse, um Gruppen auszuschließen
    • E-Mail-Adresse des Gruppenmitglieds, um Gruppenmitglieder auszuschließen
    • Primärer Synchronisierungsschlüssel für das Nutzerprofil, um Nutzerprofile nach Synchronisierungsschlüssel auszuschließen
    • Primärer Synchronisierungsschlüssel für freigegebene Kontakte, um freigegebene Kontakte nach Synchronisierungsschlüssel auszuschließen
    • Kalenderressourcen-ID, um Ressourcen nach ID auszuschließen
    • Anzeigename der Kalenderressource, um nach Anzeigenamen auszuschließen
    • Kalenderressourcentyp, um nach Kategorie auszuschließen
  4. Klicken Sie auf OK.
Verschiedene Attribute in Ihren Google-Daten beibehalten

Wenn Sie in Ihren Google- und LDAP-Domains Entitäten haben, die nicht in Ihrem Google-Konto aktualisiert werden sollen, verwenden Sie zwei Ausschlussregeln:

  • Eine Google-Domainausschlussregel zum Ausschließen der Entitäten aus dem Google-Konto. 
  • Eine LDAP-Domainausschlussregel, um die Entitäten aus der LDAP-Domain auszuschließen

Bei der Synchronisierung bleiben diese Entitäten dann unverändert in der Google-Konto erhalten.

Beispiel: Sie müssen in Ihrem Google-Konto ein Nutzerattribut, etwa eine Organisationseinheit, beibehalten, das sich vom Nutzerattribut in der LDAP-Domain unterscheidet. Mithilfe von zwei Ausschlussregeln sorgen Sie dafür, dass die Attribute bei einer Synchronisierung nicht geändert werden. Weitere Informationen finden Sie unter Verschiedene Nutzerattribute während der Synchronisierung beibehalten.

Beispiele für Ausschlussregeln

Ausschlussregel für LDAP-Nutzer

In diesem Beispiel werden Drucker als LDAP-Nutzer aufgeführt und stimmen mit der LDAP-Abfrage überein. Sie möchten jedoch sicherstellen, dass Drucker nicht als Google-Nutzer identifiziert werden. Alle Drucker enthalten im LDAP-Verzeichnisnamen das Wort "Drucker". Durch die Regel wird nach diesem Teilstring gesucht.

  • Typ: Primäre Adresse
  • Übereinstimmungstyp: Teilstring-Übereinstimmung
  • Ausschlussregel: Drucker
Ausschlussregel für LDAP-Kalenderressourcen

Ein paar Konferenzräume werden in Büros umgewandelt. Sie möchten sicherstellen, dass sie nicht als Kalenderressourcen importiert werden. Fügen Sie für jeden Konferenzraum eine eigene Regel hinzu.

Erste Regel:

  • Typ: Anzeigename der Kalenderressource
  • Übereinstimmungstyp: Teilstring-Übereinstimmung oder genaue Übereinstimmung
  • Ausschlussregel: Konferenzraum-Alpenblick

Zweite Regel:

  • Typ: Anzeigename der Kalenderressource
  • Übereinstimmungstyp: Teilstring-Übereinstimmung oder genaue Übereinstimmung
  • Ausschlussregel: Konferenzraum-Schwarzwald
Ausschlussregel für LDAP-Gruppen

Auf dem LDAP-Server werden 500 Test-Mailinglisten aufgeführt. Diese werden jedoch nur zu internen Testzwecken verwendet. Alle Testnutzer befinden sich in derselben Domain und folgen demselben Namensmuster, also "interner-testX", wobei X eine Zahl ist.

  • Typ: Gruppenadresse
  • Übereinstimmungstyp: regulärer Ausdruck
  • Ausschlussregel: interner-test[0-9]*@example.com
Ausschlussregel für Google-Nutzer

Wenn ein Nutzer nicht in Ihrem LDAP-Verzeichnisserver aufgeführt ist, wird er durch GCDS aus der Liste der Google-Nutzer und aus Google Groups gelöscht. Verwenden Sie für Nutzer und Gruppen, die nicht in Ihrem LDAP-Verzeichnis vorhanden sind, eine Ausschlussregel, damit sie in Ihrem Google Workspace- oder Cloud Identity-Konto erhalten bleiben. Google-Administratorkonten werden standardmäßig ausgeschlossen. Sie müssen daher keine Ausschlussregel für diese Konten erstellen. 

Option 1: Organisationseinheit verwenden, um Nutzer zu behalten

Verschieben Sie die Nutzerkonten in eine eigens dafür vorgesehene Organisationseinheit und erstellen Sie in den Konfigurationseinstellungen für Google-Domains des Konfigurationsmanagers eine Ausschlussregel dafür.

  • Typ: Organisation – vollständiger Pfad
  • Übereinstimmungstyp: genaue Übereinstimmung
  • Ausschlussregel: /OUPath/MyExcludedOU

Option 2: E-Mail-Adresse verwenden

Erstellen Sie in den Einstellungen für die Konfiguration der Google-Domain des Konfigurationsmanagers eine Ausschlussregel für Übereinstimmungen mit E-Mail-Adressen.

  • Typ: E-Mail-Adresse des Nutzers oder der Gruppe
  • Übereinstimmungstyp: genaue Übereinstimmung
  • Ausschlussregel: nutzer@beispiel.de

Option 3: Alle anderen Organisationen ausschließen

Wenn Sie Ihre LDAP-Nutzer in eine Organisationseinheit auf oberster Ebene und ihre zugehörigen Unterorganisationen synchronisieren möchten, müssen alle anderen Organisationseinheiten auf oberster Ebene ausgeschlossen werden. Der folgende reguläre Ausdruck schließt alle Organisationseinheiten auf oberster Ebene aus, die nicht mit „MyIncludedOU“ beginnen. Fügen Sie keinen Schrägstrich am Anfang ein, wenn Sie reguläre Ausdrücke verwenden.

  • Typ: Organisation – vollständiger Pfad
  • Übereinstimmungstyp: regulärer Ausdruck
  • Ausschlussregel: —^(?!MyIncludedOU).*

Weitere Informationen

Google, die Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.
War das hilfreich?
Wie können wir die Seite verbessern?