Bevor Sie Password Sync installieren, müssen Sie eine Google-Authentifizierungsmethode auswählen. Wir empfehlen das Dienstkonto. Falls Sie Password Sync über die Befehlszeile installieren, müssen Sie ein Dienstkonto verwenden.
Sie können auch das dreibeinige OAuth für die Authentifizierung verwenden, allerdings nur auf Microsoft Windows Server mit Desktop Experience. Wenn Sie mehr als fünf Domaincontroller haben, müssen Sie jeden einzeln registrieren. Das kann zeitaufwendig sein. Wir empfehlen stattdessen die Verwendung eines Dienstkontos.
Sie sind bei Schritt 2 von 7
Option 1: Mit Dienstkonto authentifizieren
Ein Dienstkonto ist mit einer Anwendung verknüpft statt mit einem Nutzer. Von der Anwendung wird im Namen des Dienstkontos eine Anfrage an Google-APIs gesendet, sodass Nutzer nicht direkt an der Authentifizierung beteiligt sind.
Vorteile eines Dienstkontos:
- Ein Dienstkonto kann von mehreren Domainadministratoren verwaltet und überwacht werden. Wenn einer von ihnen die Organisation verlässt, hat das keine Auswirkungen auf Password Sync.
- Dienstkonten unterliegen nicht der Beschränkung für Aktualisierungstokens, die für das dreibeinige OAuth gilt.
- Die Anmeldedaten des Dienstkontos werden als JSON-Datei heruntergeladen und können auf mehreren Domaincontrollern verwendet werden. Sie müssen die Autorisierung nicht für jeden Domaincontroller wiederholen.
- Dienstkonten erfordern keinen Webbrowser für die Authentifizierung. Sie können Password Sync in Windows Server Core konfigurieren.
- Sie können Password Sync über die Befehlszeile installieren und konfigurieren.
Nachteile eines Dienstkontos:
- Sie müssen in Google Cloud ein Projekt erstellen, wodurch die Einrichtung komplexer wird.
Option 2: Mit dreibeinigem OAuth authentifizieren
Beim dreibeinigen OAuth sendet die Anwendung im Namen eines Nutzers eine Anfrage an Google APIs. Anders als bei einem Dienstkonto ist es bei dreibeinigem OAuth normalerweise erforderlich, dass jeder Nutzer der Anwendung Zugriff auf seine Daten erteilt. Bei Password Sync führt der Domainadministrator diesen Schritt im Namen aller Nutzer während der Einrichtung aus. Damit die Passwörter aller Nutzer in einer Domain mit Password Sync synchronisiert werden können, muss der Domainadministrator Password Sync auf jedem Domaincontroller autorisieren.
Vorteile des dreibeinigen OAuth:
- Das dreibeinige OAuth lässt sich einfach nutzen und erfordert nur einen Einrichtungsschritt.
Nachteile des dreibeinigen OAuth:
- Es ist nur unter Windows Server mit Desktopdarstellung und nicht unter Windows Server Core verfügbar.
- Bei Domains mit mehreren Domaincontrollern wird möglicherweise die Tokenbeschränkung überschritten. Sie müssen jeden Domaincontroller separat autorisieren. Das kann zeitaufwendig sein.
- Das dreibeinige OAuth ist an ein einzelnes Administratorkonto gebunden. Wenn das Konto deaktiviert oder gelöscht wird, funktioniert Password Sync nicht.
- Anders als bei Dienstkonten kann die Nutzung nicht über Google Cloud überwacht werden.
- Sie können Password Sync nicht über die Befehlszeile mit dreibeinigem OAuth installieren und konfigurieren.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.