FAQ zu GCDS

1. Sie benötigen die GCDS-Version 4.7.14 oder höher.

   Weitere Informationen finden Sie unter GCDS aktualisieren.

2. Autorisieren Sie GCDS auf einem Computer mit einer GUI.

   Weitere Informationen finden Sie unter Google-Konto autorisieren.

3. Erstellen und speichern Sie die XML-Datei. 
4. Führen Sie auf demselben Computer das upgrade-config-Tool über die Befehlszeile aus. Verwenden Sie dabei den Parameter -exportkeys.

   Beispiel: upgrade-config -exportkeys Verschlüsselungsschlüsseldatei [Passwort]

   In diesem Beispiel werden die Schlüssel in eine Datei namens Verschlüsselungsschlüsseldatei exportiert. Die Verwendung eines Passworts ist optional.

5. Kopieren Sie die Verschlüsselungsschlüsseldatei und die Konfigurationsdatei auf einen Computer ohne GUI.
6. Verwenden Sie auf dem Computer ohne GUI die Befehlszeile, um das upgrade-config-Tool mit dem Parameter -importkeys auszuführen.

   Beispiel: upgrade-config -importkeys Dateiname

   Wichtig: Mit dem Parameter -importkeys werden alle autorisierten GCDS-Konfigurationen auf Ihrem Computer entfernt. 

7. Geben Sie gegebenenfalls das in Schritt 4 festgelegte Passwort ein.

   Sie erhalten eine Bestätigung, wenn die Schlüssel erfolgreich importiert wurden.

Tipp: Weitere Optionen werden durch Eingabe des Befehls upgrade-config -help in der Befehlszeile angezeigt.

1. Wenn Sie der Meinung sind, dass noch Änderungen an der E-Mail-Adresse des Nutzers (Umbenennung des Nutzers) ausstehen oder Sie sich nicht sicher sind, wählen Sie eine der folgenden Optionen aus:
   • Führen Sie eine Synchronisierung auf dem alten Server aus.
   • Kopieren Sie die TSV-Dateien (tabulatorgetrennte Werte) auf den neuen Server.

     Den Namen und den Speicherort der TSV-Dateien finden Sie in der Konfigurationsdatei, indem Sie nach .tsv suchen.

   • Installieren Sie GCDS auf dem neuen Server. Eine Anleitung finden Sie im Hilfeartikel GCDS herunterladen und installieren.
2. Kopieren Sie die Konfigurationsdatei auf den neuen Server.
3. Öffnen Sie die Konfigurationsdatei auf dem neuen Server im Konfigurationsmanager.
4. Autorisieren Sie GCDS noch einmal für Ihr Google-Konto. Weitere Informationen finden Sie unter Google-Konto autorisieren.
5. Aktualisieren Sie auf der Seite LDAP-Konfiguration das LDAP-Passwort. Weitere Informationen finden Sie in den LDAP-Verbindungseinstellungen.
6. Aktualisieren Sie auf der Seite Benachrichtigungen das SMTP-Passwort. Eine Anleitung finden Sie unter Attribute für Benachrichtigungen.
7. Führen Sie eine simulierte Synchronisierung aus.
8. Prüfen Sie die Synchronisierung auf unerwartete Änderungen.
9. Führen Sie eine vollständige Synchronisierung durch.

   Nach der Synchronisierung werden die TSV-Dateien vom alten Server aktualisiert. Wenn Sie die TSV-Dateien nicht übertragen haben, werden neue Dateien erstellt.

Wenn bei der Ausführung von GCDS Probleme mit Zertifikaten auftreten, lesen Sie den Artikel Fehler im Zusammenhang mit Zertifikaten beheben.

GCDS verwendet APIs, um Daten hochzuladen und Anfragen an Ihr Google-Konto zu senden. Dabei wird OAuth verwendet, um die APIs zu authentifizieren. Die Synchronisierungsberichte werden über SMTP gesendet. GCDS verwendet die folgenden APIs:

• Directory API: Zum Verwalten von Google Chrome-Geräten, Gruppen, Gruppenaliassen, Mitgliedern, Organisationseinheiten, Nutzern und Nutzeraliassen
• Domain Shared Contacts API: Zum Erstellen, Löschen und Aktualisieren freigegebener Kontaktdaten für externe Kontakte

Es kann bis zu acht Tage dauern, bis Änderungen in Ihrem Google-Konto erscheinen. Warum das so ist, wird deutlich, wenn Sie verstehen, wie GCDS Daten im Cache speichert.

Bei GCDS werden Daten Ihres Google-Kontos für höchstens acht Tage im Cache gespeichert. Je nach Größe der im Cache gespeicherten Daten ist auch eine häufigere Leerung möglich. Wenn der Cache aber nicht geleert wird, kann es bis zu acht Tage dauern, bis Änderungen angezeigt werden, die direkt über die Admin-Konsole oder einen anderen API-Client in Ihrem Google-Konto vorgenommen wurden.

Sobald der Cache geleert ist, wird die Änderung im Google-Konto mithilfe von GCDS erkannt und mit den Quelldaten im LDAP-Verzeichnis verglichen. Falls sich dann herausstellt, dass die Daten nicht übereinstimmen, werden die Änderungen im Google-Konto bei der Synchronisierung wieder rückgängig gemacht.

So leeren Sie den Cache manuell:

• Starten Sie im Konfigurationsmanager eine Synchronisierung und wählen Sie aus, dass dabei der Cache geleert werden soll.
• Verwenden Sie das Befehlszeilen-Flag -f, um das Leeren des Cache zu erzwingen.
• Ändern Sie die XML-Konfigurationsdatei so, dass der Wert maxCacheLifetime auf 0 gesetzt wird.

Wichtig: Durch das Leeren des Cache kann sich die Synchronisierungsdauer erheblich verlängern.

Nutzerprofile werden einschließlich zusätzlicher Nutzerattribute in das Google-Nutzerkonto geschrieben und im Verzeichnis des Kontos angezeigt. GCDS greift auf das Verzeichnis in Google Kontakte zu. Weitere Informationen finden Sie im Hilfeartikel Übersicht: Verzeichnis einrichten und verwalten.

In der GCDS-Konfiguration können Sie festlegen, welche Attribute von GCDS ausgewertet werden sollen. Die in einem Attribut gespeicherten Daten werden nur dann über GCDS ausgewertet, wenn eine Übereinstimmung mit einer gültigen SMTP-Adresse vorliegt.

Wenn Sie Microsoft Active Directory proxyAddresses verwenden, wird während der Synchronisierung das Präfix smtp: entfernt. Es wird also nicht in Ihrer Google-Domain angezeigt. 

Ja. Mit GCDS haben Sie die Möglichkeit, mehrere Konfigurationsdateien zu verwenden, um so aus einem LDAP-Verzeichnis mit mehreren Google-Konten zu synchronisieren. Wenn mehrere Synchronisierungen gleichzeitig ausgeführt werden, sollte jede Konfigurationsdatei mit einem eigenen Namen gespeichert werden.

Mithilfe der Option Speichern unter im Konfigurationsmanager können Sie eine vorhandene Konfigurationsdatei klonen und unter einem neuen Namen speichern.

Wenn Sie in der Google Admin-Konsole in Einstellungen für die Verwaltung von in Konflikt stehenden Konten aktiviert haben, werden die Einstellungen während der Synchronisierung von GCDS ignoriert.

Wenn GCDS auf ein in Konflikt stehendes Konto stößt, wird ein neues Google Workspace-Konto erstellt und das vorhandene private Konto wird in Nutzername%googleworkspacedomain@gtempaccount.com umbenannt.

Wenn Sie eine Untergruppe von Nutzern mit Ihrem Google-Konto synchronisieren möchten, können Sie eine einzelne Active Directory- oder LDAP-Verzeichnisgruppe als Quelle verwenden. Wenn Sie Gruppen verwenden, wird die Anzahl der Personen in der Nutzerverwaltung Ihres Google-Kontos eingeschränkt.

Beispiel:

Nutzerabfrage
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Diese Abfrage gibt alle Nutzer zurück, die Mitglieder der im Gruppen-DN definierten Gruppe sind, E-Mail-Adressen haben und deren Konten nicht deaktiviert sind.

Sie können GCDS so konfigurieren, dass eine Organisationseinheit aus Ihrem Google-Konto ausgeschlossen wird. Dazu definieren Sie in der Konfiguration der Google-Domain eine Ausschlussregel für den vollständigen Pfad der Organisationseinheit.

Beispiel:

Ausschlussregel
Typ: Vollständiger Pfad der Organisation
Übereinstimmungstyp: genau passend
Regel: /OUPath/MyExcludedOU

Wenn Sie eine zusätzliche (sekundäre) Domain hinzugefügt haben, können Sie GCDS verwenden, um Nutzer mit dieser sekundären Domain zu synchronisieren. Dazu muss die E-Mail-Adresse der Nutzer auf Ihrem LDAP-Server mit dem Namen der sekundären Domain übereinstimmen. Ihre sekundäre Domain wird als primäre E-Mail-Adresse verwendet, wenn die Nutzer mithilfe von GCDS in Ihrem Google-Konto erstellt werden.

Wenn Sie Ihr vorhandenes LDAP-E-Mail-Attribut nicht ändern möchten, weisen Sie den E-Mail-Adressen Ihrer sekundären Domain-Nutzer ein weiteres Attribut zu. Weitere Informationen zu sekundären Domains finden Sie unter Domain-Alias oder sekundäre Domain hinzufügen.

Ja, sofern der LDAP-Server Platzhalter erlaubt.

LDAP-Verzeichnisse unterstützen jedoch keine Platzhalter in DN-Attributen, wenn Sie eine Nutzersuchanfrage vornehmen. Sie können beispielsweise (mail=user*) verwenden, aber nicht (distinguishedName=*,DC=domain,DC=com).

Ja, wenn Sie einen LDAP-Server verwenden, der rekursive Suchanfragen mit „memberOf“ unterstützt. Sie funktionieren beispielsweise in Active Directory, nicht jedoch bei OpenLDAP.

Wenn ein Google Workspace-Nutzerkonto nach der Ausführung von GCDS gesperrt wird, werden Sie in einer Fehlermeldung über die Ursache informiert. Wenn Sie vermeiden möchten, dass der Fehler bei nachfolgenden Synchronisierungen wieder auftritt, können Sie je nach Problemursache eine der folgenden Lösungen umsetzen:

• Problem: Der Nutzer ist nicht auf dem LDAP-Server vorhanden.

  Lösung: Der Kunde sollte eine Ausschlussregel für Google-Nutzer festlegen, um zu verhindern, dass dieser Nutzer von GCDS in Google Workspace gesperrt wird.

• Problem: Der Nutzer hat keine gültige E-Mail-Adresse auf dem LDAP-Server.

  Lösung: Sie sollten eine E-Mail-Adresse für diesen Nutzer konfigurieren oder eine Ausschlussregel für Google-Nutzer festlegen, um zu verhindern, dass GCDS den Nutzer in Google Workspace sperrt.

  Sie können die GCDS-Konfiguration auch so ändern, dass sie das E-Mail-Adressattribut des Nutzers verwendet, das sich auf dem LDAP-Server befindet. Verwenden Sie z. B. das Attribut userPrincipalName (UPN) anstelle des Attributs mail.

• Problem: Der Nutzer wird durch Ausschlussregeln auf dem LDAP-Server übersprungen.

  Lösung: Sie sollten die Ausschlussregeln korrigieren, wenn Sie den Nutzer nicht sperren möchten.

• Problem: Der Nutzer wird in den Suchregeln gefunden und gesperrt, weil die Option Suspend these users in the Google Domain (Diese Nutzer in der Google-Domain sperren) angeklickt ist.

  Lösung: Möglicherweise muss der Nutzer gesperrt werden.

• Problem: Der Nutzer wurde auf dem LDAP-Server gesperrt.

  Lösung: Möglicherweise muss der Nutzer gesperrt werden.

Bei einer zyklischen Gruppenmitgliedschaft handelt es sich um mindestens zwei Gruppen, die als Mitglied in der jeweils anderen eingetragen sind. Beispiel: Gruppe A ist Mitglied von Gruppe B und Gruppe B ist Mitglied von Gruppe A.

Zyklische Gruppenmitgliedschaften werden zwar von LDAP und Microsoft Active Directory, aber nicht von Google Groups unterstützt. Wenn Sie versuchen, eine solche Mitgliedschaft zu synchronisieren, wird der Fehler „Zyklische Mitgliedschaften sind nicht erlaubt“ angezeigt.

Sie können GCDS so konfigurieren, dass Gruppen ausgeschlossen werden. Dazu definieren Sie in der Konfiguration der Google-Domain eine Ausschlussregel für die Gruppen-E-Mail-Adresse. Weitere Informationen finden Sie im Hilfeartikel Regeln für Google-Daten verwenden.

Beispiel:

Ausschlussregel
Typ: Gruppen-E-Mail-Adresse
Übereinstimmungstyp: genau passend
Regel: GCP_Project1@beispiel.de

Hinweis: Wir empfehlen, dass Sie diese Gruppen in Ihrem LDAP-Verzeichnis erstellen und verwalten. Gruppenmitgliedschaften werden bei der Datensynchronisierung mit GCDS in Ihrem Google-Konto aktualisiert.

Wenn Sie bestehende Gruppen beibehalten möchten, die nicht in LDAP vorhanden sind, können Sie die Einstellung Keine Google Groups-Gruppen löschen, die nicht auf dem LDAP-Server gefunden werden aktivieren. Weitere Informationen zu den Optionen des Konfigurationsmanagers

Von Nutzern erstellte Gruppen sind Gruppen, die in Google Groups for Business erstellt wurden. Falls eine LDAP-Gruppe mit einer von Nutzern erstellten Gruppe übereinstimmt, wird sie von GCDS ignoriert, so als würde eine GCDS-Ausschlussregel für diese spezielle Gruppe gelten. Die Gruppe wird nicht entfernt, wenn keine Übereinstimmung zwischen ihren Daten und den LDAP-Daten besteht. 

Sollten Sie dem entsprechenden Objekt bzw. der entsprechenden Entität im LDAP Mitglieder hinzugefügt haben, fügt GCDS diese der Gruppe hinzu. Wenn Sie der Google Groups-Gruppe Nutzer hinzugefügt haben, die nicht mit Ihren LDAP-Daten übereinstimmen, werden diese Mitglieder während des Synchronisierungsprozesses nicht entfernt.

Weitere Informationen zu nutzererstellten Gruppen finden Sie im Hilfeartikel Häufig gestellte Fragen zu Google Groups für Administratoren.

Ja, GCDS synchronisiert auch Mitgliedschaften verschachtelter Gruppen. Es gibt jedoch Einschränkungen hinsichtlich verschachtelter Gruppen und der E-Mail-Zustellung bei Google Groups for Business. In den folgenden Fällen erhalten nicht alle Mitglieder der verschachtelten Gruppe E-Mail-Inhalte, die an die Gruppe gesendet werden:

• Die Moderationsberechtigung ist aktiviert. Eine E-Mail wird erst dann automatisch an Gruppenmitglieder oder andere verschachtelte Gruppen weitergeleitet, wenn der Moderator der Gruppe die Genehmigung erteilt hat.
• Eine übergeordnete Gruppe ist nicht berechtigt, die Nachricht an die verschachtelten Gruppen zu senden.

Weitere Informationen

• Einer Gruppe eine andere Gruppe hinzufügen
• Festlegen, wer Beiträge ansehen, posten und moderieren darf

Ja. Gruppenmitglieder werden unabhängig davon synchronisiert, ob das jeweilige Mitglied ein Nutzer oder eine Gruppe ist. Allerdings werden mit GCDS keine Suchregeln zum Anzeigen von Mitgliedern verschachtelter Gruppen angewandt, wenn diese Suchregel von Ihrem LDAP-Server nicht unterstützt wird.

Der Fehler kann durch ein Konfigurationsproblem, z. B. eine falsch konfigurierte Ausschlussregel, verursacht werden. Diese wird möglicherweise durch GCDS-Caching ausgeblendet.

Bei GCDS werden die Daten Ihres Google-Dienstes (z. B. Google Workspace oder Cloud Identity) höchstens acht Tage lang im Cache gespeichert. Je nach Größe der im Cache gespeicherten Daten ist auch eine häufigere Leerung möglich. Wenn der Cache aber nicht geleert wird, kann es bis zu acht Tage dauern, bis Änderungen angezeigt werden, die direkt über die Admin-Konsole oder einen anderen API-Client in Ihrem Google-Konto vorgenommen wurden. 

So leeren Sie den Cache manuell:

• Starten Sie im Konfigurationsmanager eine Synchronisierung und wählen Sie aus, dass dabei der Cache geleert werden soll.
• Verwenden Sie das Befehlszeilen-Flag -f, um das Leeren des Cache zu erzwingen.
• Ändern Sie die XML-Konfigurationsdatei so, dass der Wert maxCacheLifetime auf 0 gesetzt wird.

Wichtig: Durch das Leeren des Cache kann sich die Synchronisierungsdauer erheblich verlängern.

Beispiel: Sie haben eine Gruppe, die sowohl auf Ihrem LDAP-Server als auch in Ihrem Google-Konto vorhanden ist. Sie erstellen eine Google-Ausschlussregel für diese Gruppe, um zu verhindern, dass die Gruppe während einer Synchronisierung geändert wird.

Diese Regel führt jedoch dazu, dass sich GCDS so verhält, als wäre die Gruppe in Ihrem Google-Konto gar nicht vorhanden. Über GCDS wird also versucht, die Gruppe zu erstellen. Da sie aber schon vorhanden ist, wird ein Fehler angezeigt und sie wird dem Cache hinzugefügt. Bei nachfolgenden Synchronisierungen wird der Cache verwendet und GCDS erkennt, dass die Gruppe bereits vorhanden ist. Sobald der Cache geleert ist, verhält GCDS sich wieder so, als wäre die Gruppe nicht vorhanden.

Die Standardeinstellungen zur Passwortsynchronisierung in GCDS werden verwendet, um festzulegen, wie Passwörter für neue Nutzerkonten erstellt werden. Wenn Sie kein anfängliches Kontopasswort anpassen möchten, brauchen Sie hier nichts zu tun. In diesem Fall können Sie die Standardeinstellungen nutzen.

Wenn Sie Active Directory verwenden, können Sie mit Password Sync Nutzerpasswörter aus Active Directory mit Ihrer Google-Domain synchronisieren.

In GCDS werden die Regeln in einer vorgegebenen Reihenfolge berücksichtigt, nämlich von der höchsten zur niedrigsten Priorität. 

Sie konfigurieren beispielsweise eine Synchronisierungsregel für Nutzerkonten, mit der Sie Nutzer in der Stammorganisationseinheit oder in „/“ erstellen. Anschließend legen Sie eine Regel mit niedrigerer Priorität fest, um Nutzer in der Organisationseinheit „/Ausnahmen“ zu erstellen. Nach einer Synchronisierung werden Nutzer, die mit beiden Regeln übereinstimmen, in der Stammorganisationseinheit erstellt, da diese Regel eine höhere Priorität hat. 

Wenn Sie möchten, dass Nutzer wie vorgesehen in „/Ausnahmen“ platziert werden, muss diese Regel in Bezug auf die Priorität über allen anderen in Konflikt stehenden Regeln stehen. Alternativ müssen Sie sie in der sortierten Liste an die erste Stelle setzen.

Bei GCDS wird für die Autorisierung das dreibeinige OAuth 2.0 verwendet. Über diesen Prozess wird GCDS ein OAuth 2.0-Token gewährt. Mithilfe des Tokens kann GCDS Aktionen im Namen des Administrators ausführen, der die Autorisierung durchgeführt hat.

Alle Auditereignisse werden nach dem Administrator aufgelistet, der GCDS autorisiert hat. Sie sollten ein eigenes GCDS-Administratorkonto erstellen, um deutlicher erkennen zu können, welche Änderungen und Prüfungen von GCDS vorgenommen wurden.

Weitere Informationen

Google-Konto autorisieren

Bei einer Synchronisierung wird die aktuelle LDAP-Konfiguration berücksichtigt und ermittelt, ob ein benutzerdefiniertes Schema in Ihrem Google-Konto beibehalten oder ob es daraus gelöscht werden soll. 

Darüber hinaus umfasst die GCDS-Konfigurationsdatei die Einstellung schemaHistory, die Informationen zu benutzerdefinierten Schemas enthält, die bereits synchronisiert wurden. Wenn ein benutzerdefiniertes Schema von GCDS synchronisiert wurde, wird es „schemaHistory“ automatisch hinzugefügt. Wenn Sie die Einstellung „schemaHistory“ manuell in der Konfigurationsdatei löschen und das benutzerdefinierte Schema nicht in Ihrem LDAP-Verzeichnis vorhanden ist, wird es von GCDS übersprungen und nicht aus Ihrem Google-Konto entfernt.

Wenn Sie „schemaHistory“ manuell aus Ihrer Konfigurationsdatei löschen möchten, suchen Sie nach Folgendem: 

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

GCDS kann nur von einem LDAP-Verzeichnis aus synchronisiert werden. Wenn Sie mehrere LDAP-Verzeichnisse haben, konsolidieren Sie Ihre LDAP-Serverdaten in einem einzigen Verzeichnis. Weitere Informationen finden Sie unter Schritt 2 im Artikel LDAP-Verzeichnis vorbereiten.

Der symmetrische Schlüssel, mit dem das GCDS-Aktualisierungstoken verschlüsselt wird, wird vom standardmäßigen Java-Crypto-KeyGenerator mit AES 128 generiert. 

Gespeichert wird der Schlüssel mit der Methode „userNodeForPackage“ in der Klasse „Preferences“ in Java. Der genaue Speicherort des Schlüssels wird nicht von GCDS gesteuert und ist betriebssystemabhängig.

Unter Windows werden die Einstellungsdaten für den Nutzer in der Registrierungsstruktur abgelegt, unter Linux im Home-Verzeichnis des Nutzers.

Wir empfehlen Kunden, Best Practices zu befolgen und ein verschlüsseltes Dateisystem sowie eingeschränkte ACLs zu verwenden, damit der Schlüssel sicher gespeichert wird.

Die eindeutige ID (auch als Nicht-Adressen-Primärschlüssel) wird intern von GCDS verwendet und nicht mit Google Workspace synchronisiert. GCDS speichert die eindeutige ID in einer TSV-Datei auf dem Computer, auf dem GCDS installiert ist. Sie finden den Namen der TSV-Datei und den vollständigen Pfad in der XML-Konfigurationsdatei.

Wenn ein Nutzer auf dem LDAP-Server, aber nicht in Google Workspace umbenannt wird, verwendet GCDS die eindeutige ID, um zu verhindern, dass die Informationen des Nutzers gelöscht oder dupliziert werden.

Hinweis : Wenn Sie die E-Mail-Adressen des Nutzers sowohl auf dem LDAP-Server als auch in Google Workspace manuell ändern, kann es zu Synchronisierungsproblemen kommen. Um dieses Problem zu vermeiden, entfernen Sie die entsprechenden Nutzerdatensätze aus der TSV-Datei, bevor Sie GCDS ausführen.

Sie können GCDS so konfigurieren, dass Sicherheitsgruppen mithilfe von LDAP-Suchregeln synchronisiert werden.

Beispiel 1: Nach allen Sicherheitsgruppen suchen

Dieses Beispiel zeigt eine LDAP-Suche nach allen Sicherheitsgruppen mit E-Mail-Adresse:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Beispiel 2: Nach einem Teil der Sicherheitsgruppen suchen

Wenn Sie nur einen Teil der Sicherheitsgruppen synchronisieren möchten, sollten Sie „extensionAttribute1“ verwenden und einen bestimmten Wert festlegen, z. B. GoogleCloud. Damit können Sie dann die GCDS-Abfrage entsprechend verfeinern, um nur diese Teilmenge aller Sicherheitsgruppen bereitzustellen.

Dieses Beispiel zeigt eine LDAP-Suche nach allen Sicherheitsgruppen mit E-Mail-Adresse und dem Attribut „GoogleCloud“:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Wichtig:

• Auf alle Gruppen innerhalb einer Google-Domain wird durch eine E-Mail-Adresse verwiesen. Sie müssen daher sicherstellen, dass alle Sicherheitsgruppen, die Sie synchronisieren möchten, ein gültiges E-Mail-Attribut definiert haben.
• In einer Google-Domain erstellte Gruppen haben in Google Cloud nicht automatisch eine explizite Identitäts- und Zugriffsverwaltungsrolle (Identity and Access Management – IAM). Nachdem eine Gruppe erstellt wurde, müssen Sie sie mithilfe von Cloud IAM einer bestimmten Rolle zuweisen.

Sie können GCDS konfigurieren, indem Sie eine Synchronisierungsregel zum Hinzufügen von Google Cloud-Nutzern einrichten. Am einfachsten erstellen Sie dazu eine neue Abfrage basierend auf den Nutzern, die Mitglied einer Gruppe sind:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Anschließend können Sie den folgenden Suchfilter verwenden, um Nutzer zurückzugeben, die Mitglieder einer Gruppe sind, eine E-Mail-Adresse haben und deren Konten nicht gesperrt sind: 

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Sie können diese Nutzer in einer Organisationseinheit zusammenzufassen. Legen Sie dafür in der Regel den Namen der Organisationseinheit fest, z. B. „Cloud-Nutzer“. Falls Sie noch keine solche Organisationseinheit haben, erstellen Sie sie neu. 

Lizenzierungsprobleme

Denken Sie daran, wie Ihre Domain konfiguriert ist. So finden Sie den geeignetsten Weg, um Nutzerkonten Produktlizenzen zuzuweisen. Falls die automatische Lizenzierung aktiviert ist, sollten Sie die Organisationseinheit mit den Cloud-Nutzern möglicherweise von der Zuweisung einer Produktlizenz ausschließen. Weitere Informationen finden Sie im Hilfeartikel Optionen zur automatischen Lizenzierung für eine Organisation festlegen.

Bei komplexeren Lizenzierungsanforderungen können Sie GCDS so konfigurieren, dass alle Lizenzzuweisungen Ihrer Nutzer synchronisiert und verwaltet werden. Weitere Informationen finden Sie unter Lizenzen synchronisieren.