Veelgestelde vragen over GCDS

1. Zorg dat u GCDS versie 4.7.14 of hoger gebruikt.

   Ga naar GCDS updaten voor meer informatie.

2. Autoriseer GCDS op een computer met GUI.

   Ga naar Uw Google-account autoriseren voor meer informatie.

3. Maak het XML-bestand en sla het op. 
4. Gebruik op dezelfde computer de opdrachtregel om de tool upgrade-config uit te voeren met de parameter -exportkeys.

   Voorbeeld: upgrade-config -exportkeys bestand met versleutelingssleutel [wachtwoord]

   In dit voorbeeld worden de sleutels geëxporteerd naar een bestand met de naam bestand met versleutelingssleutel. Het gebruik van een wachtwoord is optioneel.

5. Kopieer het bestand met de versleutelingssleutel en het configuratiebestand naar een computer zonder GUI.
6. Gebruik op de computer zonder GUI de opdrachtregel om de tool upgrade-config uit te voeren met de parameter -importkeys.

   Voorbeeld: upgrade-config -importkeys bestandsnaam

   Belangrijk: Met de parameter -importkeys worden alle geautoriseerde GCDS-configuraties verwijderd die op uw computer staan.

7. Voer indien nodig het wachtwoord in dat u in stap 4 heeft ingesteld.

   U krijgt een bevestiging dat de sleutels zijn geïmporteerd.

Tip: Typ de opdracht upgrade-config -help in de opdrachtregel voor meer opties.

1. Als u denkt dat er e-mailadressen van gebruikers (gebruikersnamen) in behandeling zijn of als u dit niet zeker weet, kiest u een van deze opties:
   • Voer een synchronisatie uit op de oude server.
   • Kopieer de tsv-bestanden (door tabs gescheiden waarden) naar de nieuwe server.

     U vindt de naam en locatie van de tsv-bestanden in het configuratiebestand door te zoeken naar .tsv.

   • Installeer GCDS op de nieuwe server. Ga naar GCDS downloaden en installeren voor instructies.
2. Kopieer het configuratiebestand naar de nieuwe server.
3. Open op de nieuwe server het configuratiebestand in Configuratiebeheer.
4. Autoriseer GCDS opnieuw voor uw Google-account. Ga naar Uw Google-account autoriseren voor meer informatie.
5. Update het LDAP-wachtwoord op de pagina LDAP-configuratie. Ga naar LDAP-verbindingsinstellingen voor meer informatie.
6. Update het SMTP-wachtwoord op de pagina Meldingen. Zie Kenmerken voor meldingen voor instructies.
7. Voer een simulatiesynchronisatie uit.
8. Controleer de synchronisatie om er zeker van te zijn dat er geen onverwachte wijzigingen worden uitgevoerd.
9. Voer een volledige synchronisatie uit.

   Na de synchronisatie worden de tsv-bestanden van de oude server geüpdatet. Als u de tsv-bestanden niet heeft overgezet, worden er nieuwe bestanden gemaakt.

Zie Problemen met certificaten oplossen als u problemen heeft met certificaten wanneer u GCDS uitvoert.

GCDS gebruikt API's om gegevens te uploaden en verzoeken te sturen naar uw Google-account. GCDS gebruikt OAuth om de API's te verifiëren. SMTP wordt gebruikt om de synchronisatierapporten te sturen. GCDS gebruikt de volgende API's:

• Directory API: Google Chrome-apparaten, groepen, groepsaliassen, leden, organisatie-eenheden, gebruikers en gebruikersaliassen beheren.
• Domain Shared Contacts API: Hiermee worden gedeelde contactgegevens van externe contacten gemaakt, verwijderd en geüpdatet.

Het kan 8 dagen duren voordat u wijzigingen ziet in uw Google-account. Dit is vanwege de manier waarop GCDS gegevens opslaat in het cachegeheugen.

GCDS slaat de gegevens van uw Google-account maximaal 8 dagen in het cachegeheugen op. Het cachegeheugen wordt wellicht vaker geleegd, afhankelijk van de grootte van de gegevens erin. Als het cachegeheugen niet wordt geleegd, kan het 8 dagen duren voordat wijzigingen worden weergegeven die rechtstreeks in uw Google-account zijn aangebracht (via de Beheerdersconsole of een andere API-client).

Nadat het cachegeheugen is geleegd, wordt de wijziging in het Google-account geïdentificeerd door GCDS en vergeleken met de brongegevens in de LDAP-directory. Als de gegevens niet overeenkomen, maakt GCDS de wijziging in het Google-account ongedaan.

Ga als volgt te werk om het cachegeheugen handmatig te legen:

• Voer een synchronisatie uit in Configuratiebeheer en selecteer dat het cachegeheugen moet worden geleegd tijdens de synchronisatie.
• Gebruik de opdrachtregelmarkering -f om af te dwingen dat het cachegeheugen wordt geleegd.
• Pas het XML-configuratiebestand aan en stel de waarde maxCacheLifetime in op 0.

Belangrijk: Als u het cachegeheugen leegt, kan de synchronisatietijd sterk worden verlengd.

Gebruikersprofielen, inclusief aanvullende gebruikerskenmerken, worden naar het Google-gebruikersaccount geschreven en zijn zichtbaar in de directory van het account. GCDS heeft toegang tot de directory via Google Contacten. Ga naar Overzicht: De directory instellen en beheren voor meer informatie.

In de GCDS-configuratie kunt u de kenmerken specificeren die door GCDS worden geëvalueerd. GCDS evalueert de gegevens in het kenmerk alleen als het overeenkomt met een geldig SMTP-adres.

Als u proxyAddresses gebruikt in Microsoft Active Directory, verwijdert GCDS het voorvoegsel smtp: tijdens de synchronisatie, zodat dit niet wordt weergegeven in uw Google-domein. 

Ja. U kunt GCDS gebruiken om gegevens uit één LDAP-directory te synchroniseren met meerdere Google-accounts door meerdere configuratiebestanden te maken. Als u meerdere synchronisaties tegelijk uitvoert, slaat u elk configuratiebestand met een unieke naam op.

Als u een bestaand configuratiebestand wilt klonen, gebruikt u de optie Opslaan als in Configuratiebeheer en slaat u het bestand op met een nieuwe naam.

Als u instellingen voor conflicterende accountbeheer heeft aangezet in de Google Beheerdersconsole, negeert GCDS deze instellingen tijdens een synchronisatie.

Als GCDS een conflicterend account tegenkomt, wordt er een nieuw Google Workspace-account gemaakt en wordt de naam van het bestaande persoonlijke account gewijzigd in gebruikersnaam%googleworkspacedomain@gtempaccount.com.

Als u een deel van de gebruikers wilt synchroniseren met uw Google-account, kunt u één Active Directory- of LDAP-directorygroep gebruiken als de bron. Met een groep wordt het aantal gebruikers dat wordt geregistreerd in uw Google-account beperkt.

Voorbeeld:

User Query
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Hiermee worden alle gebruikers geretourneerd die lid zijn van de groep die wordt geïdentificeerd door de groeps-DN, die een e-mailadres hebben en van wie de accounts niet zijn uitgeschakeld.

U kunt instellen dat GCDS een organisatie-eenheid uitsluit die is ingesteld in uw Google-account door een uitsluitingsregel voor Organization Complete Path te maken in de configuratie van het Google-domein.

Voorbeeld:

Exclude Rule
Type: Organization Complete Path
Match Type: Exact Match
Rule: /OUPath/MijnUitgeslotenOE

Als u een aanvullend (secundair) domein heeft toegevoegd, kunt u GCDS gebruiken om gebruikers met dat domein te synchroniseren. Als u gebruikers wilt synchroniseren met uw secundaire domein, moet u zorgen dat de e-mailadressen van de gebruikers op de LDAP-server overeenkomen met de naam van het secundaire domein. GCDS maakt de gebruikers in uw Google-account met het secundaire domein als het primaire e-mailadres.

Als u uw bestaande LDAP-mailkenmerk niet wilt wijzigen, wijst u een ander kenmerk toe om de e-mailadressen van de gebruikers in het secundaire domein te synchroniseren. Zie Een gebruikersaliasdomein of secundair domein toevoegen voor meer informatie over secundaire domeinen.

Ja, zolang de LDAP-server jokertekens ondersteunt.

LDAP-directory's ondersteunen geen jokertekens in DN-kenmerken als u een zoekopdracht naar gebruikers uitvoert. U kunt bijvoorbeeld (mail=user*) gebruiken, maar niet (distinguishedName=*,DC=domain,DC=com).

Ja, als u een LDAP-server gebruikt die terugkerende zoekopdrachten met memberOf ondersteunt. Active Directory ondersteunt deze wel, maar OpenLDAP niet.

Als een Google Workspace-gebruikersaccount is opgeschort nadat u GCDS heeft uitgevoerd, krijgt u een foutmelding waarin staat waarom dit is gebeurd. Afhankelijk van het probleem kunt u een van de volgende oplossingen inzetten om dit probleem bij toekomstige synchronisaties te voorkomen.

• Probleem: De gebruiker bestaat niet op de LDAP-server.

  Oplossing: Omdat de gebruiker niet bestaat op de LDAP-server, moet u een uitsluitingsregel voor Google-gebruikers instellen zodat GCDS de gebruiker niet opschort in Google Workspace.

• Probleem: De gebruiker heeft geen geldig e-mailadres op de LDAP-server.

  Oplossing: Configureer een e-mailadres voor deze gebruiker of stel een Uitsluitingsregel voor Google-gebruikers in om te voorkomen dat GCDS de gebruiker opschort in Google Workspace.

  U kunt de GCDS-configuratie ook zo instellen dat het e-mailadreskenmerk van de gebruiker op de LDAP-server wordt gebruikt. Gebruik bijvoorbeeld het kenmerk userPrincipalName (UPN) in plaats van het kenmerk mail.

• Probleem: De gebruiker wordt overgeslagen door uitsluitingsregels op de LDAP-server.

  Oplossing: Pas de uitsluitingsregels aan als u niet wilt dat deze gebruiker wordt opgeschort.

• Probleem: De gebruiker wordt gevonden en opgeschort door de zoekregels omdat de optie Suspend these users in the Google Domain (Deze gebruikers opschorten in het Google-domein) is aangevinkt.

  Oplossing: De gebruiker moet mogelijk opgeschort zijn.

• Probleem: De gebruiker is opgeschort op de LDAP-server.

  Oplossing: De gebruiker moet mogelijk opgeschort zijn.

Bij een cyclisch groepslidmaatschap zijn er 2 (of meer) groepen lid van elkaar. Groep A is bijvoorbeeld lid van Groep B en Groep B is lid van Groep A.

Cyclische groepslidmaatschappen worden ondersteund door LDAP en Microsoft Active Directory. Ze worden echter niet ondersteund door Google Groepen. Als u een cyclisch lidmaatschap probeert te synchroniseren, ziet u de foutmelding: 'Cyclic memberships not allowed' (Cyclische lidmaatschappen zijn niet toegestaan).

U kunt instellen dat GCDS een groep uitsluit door een uitsluitingsregel voor 'E-mailadres groep' te maken in de configuratie van het Google-domein. Ga naar Regels voor Google-gegevens gebruiken voor meer informatie.

Voorbeeld:

Exclude Rule
Type: Group Email Address
Match Type: Exact Match
Rule: GCP_Project1@example.com

Opmerking: We raden u aan deze groepen te maken en beheren in de LDAP-directory. Het lidmaatschap van de groepen wordt dan up-to-date gehouden in het Google-account als de gegevens worden gesynchroniseerd door GCDS.

Als u bestaande groepen wilt behouden die niet in LDAP staan, kunt u de instelling Google-groepen die niet worden gevonden op de LDAP-server, niet verwijderen aanzetten. Zie Verwijderbeleid voor Google Groepen voor meer informatie.

Door gebruikers gemaakte groepen worden gemaakt in Google Groepen voor bedrijven. Als een LDAP-groep overeenkomt met een door gebruikers gemaakte groep, wordt de groep genegeerd door GCDS, alsof er voor die groep een uitsluitingsregel geldt in GCDS. De groep wordt niet verwijderd als deze niet overeenkomt met de LDAP-gegevens. 

Als u leden heeft toegevoegd aan het overeenkomende object of de overeenkomende entiteit in LDAP, voegt GCDS deze leden toe aan de groep. Als u gebruikers heeft toegevoegd aan de Google-groep die niet overeenkomen met uw LDAP-gegevens, worden deze leden niet verwijderd tijdens het synchronisatieproces.

Ga naar Veelgestelde vragen voor groepsbeheerders voor meer informatie over door gebruikers gemaakte groepen.

Ja, GCDS synchroniseert geneste groepslidmaatschappen. Er zijn echter enkele beperkingen voor geneste groepen en e-mailbezorging met Google Groepen voor bedrijven. In de volgende situaties ontvangen niet alle geneste groepsleden e-mailcontent die naar de groep is gestuurd:

• Als moderatierechten zijn ingeschakeld. Een e-mail wordt niet automatisch doorgestuurd naar groepsleden en andere geneste groepen. Dit gebeurt pas als de moderator van de groep goedkeuring heeft gegeven.
• Als een bovenliggende groep geen postrechten heeft om het bericht naar de geneste groepen te sturen.

Gerelateerde onderwerpen

• Een groep toevoegen aan een andere groep
• Zien wie mag bekijken, posten en modereren

Ja. GCDS synchroniseert leden van groepen, ongeacht of de leden gebruikers of groepen zijn GCDS ondersteunt echter geen zoekregels om leden van geneste groepen mee te nemen als die zoekregels niet worden ondersteund door uw LDAP-server.

Deze fout kan worden veroorzaakt door een configuratieprobleem, zoals een uitsluitingsregel die verkeerd is geconfigureerd. De verkeerde instelling kan worden verborgen als het cachegeheugen voor GCDS aanstaat.

GCDS slaat de gegevens van uw Google-service (zoals Google Workspace of Cloud Identity) maximaal 8 dagen in het cachegeheugen op. Het cachegeheugen wordt wellicht vaker geleegd, afhankelijk van de grootte van de gegevens erin. Als het cachegeheugen echter niet wordt geleegd, kan het 8 dagen duren voordat wijzigingen worden weergegeven die rechtstreeks in uw Google-account zijn aangebracht (via de Beheerdersconsole of een andere API-client). 

Ga als volgt te werk om het cachegeheugen handmatig te wissen:

• Voer een synchronisatie uit in Configuratiebeheer en selecteer dat het cachegeheugen moet worden geleegd tijdens de synchronisatie.
• Gebruik de opdrachtregelmarkering -f om af te dwingen dat het cachegeheugen wordt geleegd.
• Pas het XML-configuratiebestand aan en stel de waarde maxCacheLifetime in op 0.

Belangrijk: Als u het cachegeheugen leegt, kan de synchronisatietijd sterk worden verlengd.

Voorbeeld: U heeft een groep op zowel uw LDAP-server als in uw Google-account. U maakt een Google-uitsluitingsregel voor deze groep, zodat GCDS de groep niet wijzigt tijdens een synchronisatie.

Deze regel zorgt echter dat GCDS zich gedraagt alsof de groep niet bestaat in uw Google-account. GCDS probeert de groep te maken, maar omdat de groep al bestaat, krijgt u een foutmelding en voegt GCDS de groep toe aan het cachegeheugen. In volgende synchronisaties wordt het cachegeheugen gebruikt en ziet GCDS dat de groep al bestaat. Nadat het cachegeheugen is gewist, gedraagt GCDS zich opnieuw alsof de groep niet bestaat.

De standaardinstellingen voor wachtwoordsynchronisatie in GCDS bepalen hoe GCDS wachtwoorden maakt voor nieuwe gebruikersaccounts. Als u het beginwachtwoord voor het account niet wilt aanpassen, hoeft u niets te doen. Gebruik dan de standaardinstellingen.

Als u Active Directory gebruikt, kunt u met Password Sync gebruikerswachtwoorden vanuit Active Directory synchroniseren met uw Google-domein.

GCDS volgt de regels op volgorde van boven naar beneden. 

Voorbeeld: U configureert een synchronisatieregel voor gebruikersaccounts waarmee gebruikers worden gemaakt in de organisatie-eenheid op het hoogste niveau, oftewel /. Vervolgens maakt u een lagere regel waarmee gebruikers worden gemaakt in de organisatie-eenheid /Uitzonderingen. Na een synchronisatie worden gebruikers voor wie beide regels gelden, gemaakt in de organisatie-eenheid op het hoogste niveau, omdat die regel hoger staat. 

Als u wilt dat gebruikers correct in /Uitzonderingen worden geplaatst, moet u die regel boven andere conflicterende regels zetten. U kunt de regel ook bovenaan zetten in de geordende lijst.

GCDS gebruikt driezijdige OAuth 2.0 voor autorisatie. Door dit proces krijgt GCDS een OAuth 2.0-token. Met de token kan GCDS acties uitvoeren namens de beheerder die de autorisatie heeft uitgevoerd.

Bij alle controlegebeurtenissen staat de naam van de beheerder die GCDS heeft geautoriseerd. U kunt een speciaal beheerdersaccount maken voor GCDS, zodat duidelijk is welke wijzigingen en controles zijn uitgevoerd door GCDS.

Gerelateerd onderwerp

Uw Google-account autoriseren

Tijdens een synchronisatie bekijkt GCDS de huidige LDAP-instellingen om te bepalen of een aangepast schema in uw Google-account moet worden bewaard of verwijderd. 

Het GCDS-configuratiebestand heeft ook een instelling voor schemaHistory die informatie bevat over aangepaste schema's die eerder zijn gesynchroniseerd. Als een aangepast schema is gesynchroniseerd door GCDS, wordt het automatisch toegevoegd aan de schemaHistory. Als u de instellingen voor de schemaHistory handmatig verwijdert uit het configuratiebestand en als het aangepaste schema niet in uw LDAP-directory staat, slaat GCDS het aangepaste schema in uw Google-account over en wordt het niet verwijderd.

Als u de schemaHistory handmatig wilt verwijderen uit het configuratiebestand, zoekt u naar het volgende: 

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

U kunt met GCDS vanuit slechts 1 LDAP-directory synchroniseren. Als u meerdere LDAP-directory's heeft, voegt u uw LDAP-servergegevens samen in één directory. Ga voor meer informatie naar stap 2 in Uw LDAP-directory voorbereiden.

De symmetrische sleutel waarmee de GCDS-vernieuwingstoken wordt versleuteld, wordt gemaakt door de standaard Java-crypto KeyGenerator met AES 128.

De symmetrische sleutel wordt opgeslagen volgens de userNodeForPackage-methode in de klasse Preferences (Voorkeuren) in Java. De exacte locatie van de sleutel wordt niet bepaald door GCDS en hangt af van de OS.

In Windows worden de voorkeursgegevens opgeslagen in de registerhive voor de gebruiker. In Linux worden ze opgeslagen in de homedirectory van de gebruiker.

We raden klanten aan de praktische tips te volgen om te zorgen dat de sleutel goed beveiligd is, door een versleuteld bestandssysteem te gebruiken en te zorgen dat ACL's beperkt zijn.

De unieke ID (ook wel primaire sleutel zonder adres genoemd) wordt intern gebruikt door GCDS en wordt niet gesynchroniseerd met Google Workspace. GCDS slaat de unieke ID op in een tsv-bestand op de computer waarop GCDS is geïnstalleerd. De bestandsnaam en het volledige pad staan in het XML-configuratiebestand.

Als de naam van een gebruiker wordt gewijzigd op de LDAP-server, maar niet in Google Workspace, gebruikt GCDS de unieke ID om te voorkomen dat de gegevens van de gebruiker worden verwijderd of gedupliceerd.

Opmerking: Er kunnen synchronisatieproblemen optreden als u de e-mailadressen van de gebruiker handmatig wijzigt op zowel de LDAP-server als in Google Workspace. Verwijder de overeenkomende gebruikersrecords uit het tsv-bestand voordat u GCDS uitvoert om dit probleem te voorkomen.

U kunt GCDS configureren zodat beveiligingsgroepen worden gesynchroniseerd met LDAP-zoekregels.

Voorbeeld 1: Zoeken naar alle beveiligingsgroepen

In dit voorbeeld ziet u een LDAP-zoekopdracht naar alle beveiligingsgroepen met een e-mailadres:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Voorbeeld 2: Zoeken naar een deel van de beveiligingsgroepen

Als u een deel van de beveiligingsgroepen wilt synchroniseren, raden we u aan extensionAttribute1 te gebruiken en een specifieke waarde in te stellen, zoals GoogleCloud. U kunt de GCDS-query vervolgens verfijnen zodat alleen die specifieke beveiligingsgroepen worden geregistreerd.

In dit voorbeeld ziet u een LDAP-zoekopdracht naar alle beveiligingsgroepen met een e-mailadres en het kenmerk GoogleCloud:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Belangrijk:

• Alle groepen in een Google-domein hebben een e-mailadres als referentie. Zorg dat voor alle beveiligingsgroepen die u wilt synchroniseren, een geldig e-mailkenmerk is opgegeven.
• Een groep die in een Google-domein wordt gemaakt, heeft niet automatisch een rol voor identiteit- en toegangsbeheer (Identity and Access Management, IAM) in Google Cloud. Nadat een groep is gemaakt, moet u Cloud IAM gebruiken om een groep toe te wijzen aan specifieke rollen.

U kunt GCDS instellen door een gebruikerssynchronisatieregel voor Google Cloud-gebruikers toe te voegen. De eenvoudigste manier is door een nieuwe query te maken, gebaseerd op het groepslidmaatschap van de gebruikers. Bijvoorbeeld:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

U kunt vervolgens het volgende zoekfilter gebruiken om alle gebruikers te retourneren die lid zijn van de groep, die een e-mailadres hebben en van wie de accounts niet zijn opgeschort:

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

U kunt deze gebruikers in één organisatie-eenheid plaatsen. Geef hiervoor een Organisatie-eenheidnaam (bijvoorbeeld Cloud-gebruikers) op in de regel. Maak de organisatie-eenheid als deze nog niet bestaat.

Problemen met licentieverlening

Controleer hoe uw domein is ingesteld, zodat u de juiste productlicenties kunt toewijzen aan gebruikersaccounts. Indien licenties automatisch worden toegewezen, kunt u de organisatie-eenheid 'Cloud-gebruikers' daarvan uitsluiten. Ga naar Opties voor het automatisch toewijzen van licenties instellen voor een organisatie-eenheid voor meer informatie.

Als u complexere vereisten heeft voor licentieverlening, kunt u GCDS zo instellen dat alle toewijzingen van gebruikerslicenties worden gesynchroniseerd en beheerd. Ga naar Licenties synchroniseren voor meer informatie.