Sie haben einen Nutzer, der in der Google-Domain andere Attribute als auf dem LDAP-Server hat? Und Sie möchten diese verschiedenen Attribute beibehalten? Nun fragen Sie sich, wie Sie dafür sorgen können, dass Google Cloud Directory Sync (GCDS) die Attribute während einer Synchronisierung nicht ändert?
Die Antwort darauf lautet, dass Sie zwei Ausschlussregeln benötigen: eine für Ihre LDAP-Daten und eine für die Daten Ihrer Google-Domain.
Beispielszenario
Nachstehend finden Sie ein Szenario, bei dem der Nutzer max@solarmora.com sowohl auf dem LDAP-Server als auch in der Google-Domain vorhanden ist:
- Google-Domain: Max befindet sich in der Unterorganisation "Testnutzer".
- LDAP-Server: Max befindet sich in der Organisationseinheit "Finanzen".
- Suchregel: Es gibt eine Suchregel, die dafür sorgt, dass Nutzer aus der Organisationseinheit "Finanzen" in die Unterorganisation "Finanzen" in der Google-Domain übertragen werden.
- Ausschlussregel: Es gibt eine Ausschlussregel "/Testnutzer" für den vollständigen Pfad der Google-Organisation, zu der Max gehört.
Wenn die Synchronisierung ausgeführt wird, ignoriert GCDS, dass max@solarmora.com in der Google-Domain vorhanden ist, da die Ausschlussregel "/Testnutzer" gilt. Weil er jedoch in den LDAP-Ergebnissen sichtbar ist, versucht GCDS, ihn zu erstellen. Da Max bereits in der Google-Domain vorhanden ist, wird er nicht erneut erstellt. Andere Aktionen können jedoch vorgenommen werden – abhängig davon, ob Max erstellt wurde. Dazu gehört zum Beispiel, dass Max der Unterorganisation "Finanzen" zugeordnet wird.
Um dieses Szenario zu verhindern, müssen Sie den Nutzer vom LDAP-Server und von der Google-Domain ausschließen. Dazu fügen Sie eine LDAP-Ausschlussregel hinzu, die zusammen mit der Ausschlussregel der Google-Domain wirkt. In diesem Beispiel würde eine LDAP-Ausschlussregel nach E-Mail-Adressen hinzugefügt. Weitere Informationen unter Ausschlussregeln mit GCDS verwenden
Empfohlene Vorgehensweise bei mehreren Nutzern
Wenn Sie GCDS verwenden, lassen sich mehrere Nutzer einfacher auf dem LDAP-Server verwalten.
Falls Sie eine Nutzergruppe unabhängig von ihrer Organisationseinheit auf dem LDAP-Server in eine bestimmte Organisationseinheit der Google-Domain verschieben möchten, gehen Sie am besten folgendermaßen vor:
- Versehen Sie diese Nutzer auf dem LDAP-Server mit einem benutzerdefinierten Attribut oder einer Gruppenmitgliedschaft.
- Erstellen Sie eine Suchregel speziell für diese Nutzer. Verwenden Sie beispielsweise eine Regel, die nach dem benutzerdefinierten Attribut oder dem Mitgliedsnamen der Gruppe ("memberOf=groupname") sucht.
- Ordnen Sie die Suchregel der Organisationseinheit zu, in die Sie die Nutzer verschieben möchten.
Hinweis: Sie können dieser Suchregel eine höhere Priorität zuweisen. Werden Nutzer dann über mehr als eine Suchregel gefunden, werden sie dennoch in die angegebene Organisationseinheit verschoben.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.