安装 Password Sync 之前,您需要先选择一种 Google 身份验证方法。我们建议您使用服务帐号进行身份验证。如果您要通过命令行安装 Password Sync,则必须使用服务帐号。
您也可以使用三方模式 OAuth 进行身份认证,但仅限使用装有 Desktop Experience 的 Microsoft Windows Server 的情况。如果您的网域控制器超过 5 个,您必须分别对每个网域控制器进行授权,这可能会非常耗时。我们建议您改用服务帐号。
当前进度:第 2 步(共 7 步)
方法 1:使用服务帐号进行身份验证
服务帐号属于应用而非用户。应用会代表服务帐号向 Google API 发送请求,这样用户就不必直接参与身份验证过程。
使用服务帐号的优点:
- 多个网域管理员可以管理和监控同一个服务帐号。因此,即使管理员发生变化,Password Sync 也不会受影响。
- 不同于三方模式 OAuth,服务帐号不会受到刷新令牌上限的限制。
- 服务帐号凭据会以 JSON 文件的格式下载,而且可以在许多网域控制器上使用。您无需为各个网域控制器重复授权流程。
- 如果您使用服务帐号进行身份验证,则无需使用网络浏览器。如果您使用的是 Windows Server Core,则可以配置 Password Sync。
- 您可以通过命令行安装和配置 Password Sync。
使用服务帐号的缺点:
- 您必须在 Google Cloud 中创建项目,这会导致设置过程更加复杂。
方法 2:使用三方模式 OAuth 进行身份验证
借助三方模式 OAuth,应用会代表用户向 Google API 发送请求。但是,与服务帐号不同,三方模式 OAuth 通常需要各个用户授予应用访问其数据的权限。在设置过程中,网域管理员会代表网域中的所有用户为 Password Sync 执行此步骤。为确保 Password Sync 能够为网域中的每位用户成功同步用户密码,网域管理员必须在各个网域控制器上对 Password Sync 进行授权。
使用三方模式 OAuth 的优点:
- 使用三方模式 OAuth 进行身份验证操作简单,而且只需完成 1 个设置步骤。
使用三方模式 OAuth 的缺点:
- 它仅适用于安装了 Desktop Experience 的 Windows Server,而不适用于 Windows Server Core。
- 包含多个网域控制器的网域可能会超过令牌上限。您必须分别对每个网域控制器进行授权,这可能会非常耗时。
- 三方模式 OAuth 与单个管理员帐号绑定。如果相应帐号被停用或删除,Password Sync 就无法使用。
- 与服务帐号不同,您无法在 Google Cloud 中监控使用情况。
- 如果您使用三方模式 OAuth,则无法通过命令行安装和配置 Password Sync。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。