Jako administrator konfigurujący dostawcę danych uwierzytelniających Google do systemów Windows (Google Credential Provider for Windows, GCPW) możesz ułatwić użytkownikom pierwsze logowanie. Istnieje opcja powiązania przez GCPW utworzonego wcześniej profilu systemu Windows z kontem Google użytkownika. Dzięki temu użytkownik może za pomocą konta Google zalogować się na swoim profilu systemu Windows, którego używa do pracy. GCPW synchronizuje też hasło Google użytkownika z hasłem systemu Windows.
Aby utworzyć nowy profil systemu Windows i powiązać go z kontem Google użytkownika, pomiń instrukcje zawarte w tym artykule i zainstaluj GCPW.
Wówczas, gdy użytkownik zaloguje się na urządzeniu po raz pierwszy, GCPW utworzy profil systemu Windows i powiąże konto Google z nowym profilem.
Jak działa powiązywanie kont
GCPW wiąże konto Google użytkownika z istniejącym profilem lokalnym lub profilem systemu Windows w Active Directory na podstawie atrybutu niestandardowego dodanego przez Ciebie w katalogu Google. Ten atrybut niestandardowy określa nazwę użytkownika dla profilu lokalnego lub profilu systemu Windows w Active Directory.
Gdy po zainstalowaniu dostawcy danych uwierzytelniających użytkownik zaloguje się na urządzeniu po raz pierwszy, GCPW sprawdzi informacje o użytkowniku w katalogu pod kątem nazw użytkownika systemu Windows. GCPW pobiera nazwę użytkownika systemu Windows z katalogu i wyszukuje pasujący profil lub nazwę użytkownika Active Directory na urządzeniu. Uwaga: w przypadku urządzeń dołączonych przez Active Directory, jeśli użytkownik nie ma na nich jeszcze profilu systemu Windows w Active Directory, przy pierwszym logowaniu konieczne będzie połączenie z Active Directory (należy kliknąć opcję Inny użytkownik, aby się zalogować).
- Gdy GCPW znajdzie pasujący profil systemu Windows lub nazwę użytkownika Active Directory, powiąże profil systemu Windows z kontem Google i zsynchronizuje hasła.
- Jeśli katalog nie zawiera żadnych nazw użytkownika systemu Windows lub GCPW nie znajdzie pasującego profilu, na urządzeniu zostanie utworzony nowy profil systemu Windows powiązany z kontem Google.
- W przypadku urządzeń połączonych z domeną Active Directory, jeśli nazwa użytkownika Active Directory jest nieprawidłowa, GCPW może zwrócić błąd. Jeśli konto Google nie ma skonfigurowanego atrybutu niestandardowego, GCPW utworzy profil systemu Windows lub zwróci błąd, w zależności od rodzaju konta, na które użytkownik próbował się zalogować.
Więcej informacji o logowaniu użytkowników znajdziesz w artykule Logowanie do systemu Windows po zainstalowaniu GCPW.
Zanim zaczniesz
Zapoznaj się z informacjami zawartymi w artykule Przygotowywanie się do instalacji GCPW.
Krok 1. Dodaj atrybut niestandardowy do kont użytkowników
Możesz dodać atrybut niestandardowy w konsoli administracyjnej, używając widżetu w dokumentacji dla programistów, interfejsu Directory API lub Google Cloud Directory Sync (GCDS).
Dodawanie atrybutu w konsoli administracyjnej-
Zaloguj się w: konsoli administracyjnej Google.
Zaloguj się, używając konta z uprawnieniami superadministratora (adres nie kończy się ciągiem @gmail.com).
- W konsoli administracyjnej otwórz Menu Katalog Użytkownicy.
- U góry listy Użytkownicy kliknij Więcej Zarządzaj atrybutami niestandardowymi.
- W sekcji Atrybuty standardowe przejrzyj atrybuty domyślnie dostępne w profilu użytkownika.
- W prawym górnym rogu kliknij Dodaj atrybut niestandardowy.
- W polu Kategoria wpisz
Enhanced Desktop Security
(Rozszerzona ochrona komputera). Rozróżniana jest wielkość liter. - W sekcji Pola niestandardowe wpisz następujące wartości:
- Nazwa – w zależności od typu profilu systemu Windows dodaj jedną lub pojedynczo obie z tych opcji:
Local Windows accounts
(Lokalne konta systemu Windows) i/lubAD accounts
(Konta AD). Rozróżniana jest wielkość liter. - Typ informacji – wybierz Tekst.
- Widoczność – wybierz Widoczne dla użytkownika i administratora.
- Liczba wartości – wybierz Wiele wartości.
- Nazwa – w zależności od typu profilu systemu Windows dodaj jedną lub pojedynczo obie z tych opcji:
- Kliknij Dodaj. Strona Zarządzaj atrybutami użytkownika będzie zawierać teraz ten atrybut.
Uwaga: jeśli wpiszesz nieprawidłową wartość w polu Kategoria lub Nazwa, nie będzie możliwe poprawienie atrybutu niestandardowego. W takiej sytuacji usuń atrybut i zacznij od nowa.
Dokumentacja interfejsu API zawiera testowy widżet, który umożliwia wysłanie żądania i uwierzytelnienie konta Google superadministratora bez konieczności kodowania.
Aby dodać atrybut niestandardowy za pomocą testowego widżetu interfejsu API:
- Przejdź do działu Schemas: insert (Schematy: wstawianie) w sekcji Directory API (Interfejs Directory API) Google Workspace Admin SDK.
- Po prawej stronie, w panelu Try this API (Wypróbuj ten interfejs API), wprowadź następujące wartości:
- customerId – wpisz
my_customer
. - Request body (Treść żądania) – usuń widoczną w polu treść i wklej następujący tekst:
{ "displayName": "Enhanced Desktop Security", "fields": [ { "displayName": "AD accounts", "fieldName": "AD_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" }, { "displayName": "Local Windows accounts", "fieldName": "Local_Windows_accounts", "fieldType": "STRING", "multiValued": true, "readAccessType": "ADMINS_AND_SELF" } ], "schemaName": "Enhanced_desktop_security" }
- customerId – wpisz
- Kliknij EXECUTE (WYKONAJ).
- Gdy pojawi się prośba, wpisz dane logowania do konta superadministratora.
Jeśli żądanie zostanie zrealizowane, u dołu panelu zostanie zwrócony kod odpowiedzi 200. Możesz też sprawdzić, czy atrybut niestandardowy został utworzony, wybierając w konsoli administracyjnej kolejno: Użytkownicy Więcej Zarządzaj atrybutami niestandardowymi.
Dodaj atrybut niestandardowy za pomocą interfejsu Directory API.
Dodaj wartości do Active Directory i zsynchronizuj je z konsolą administracyjną przy użyciu Google Cloud Directory Sync (GCDS).
Krok 2. Skonfiguruj atrybut niestandardowy na kontach użytkowników
Wykonaj te czynności w przypadku każdego użytkownika, którego konto Google GCPW ma powiązać z utworzonym wcześniej profilem systemu Windows. Więcej informacji o edytowaniu atrybutów znajdziesz w artykule Tworzenie niestandardowych atrybutów profili użytkowników.
Aby skonfigurować wartości w atrybutach niestandardowych oddzielnie dla każdego konta użytkownika:
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
- W konsoli administracyjnej otwórz Menu Katalog Użytkownicy.
- Na liście Użytkownicy znajdź interesującego Cię użytkownika i kliknij jego nazwę. Jeśli potrzebujesz pomocy, zobacz Znajdowanie konta użytkownika.
- Kliknij Informacje o użytkowniku i znajdź sekcję Enhanced Desktop Security (Rozszerzona ochrona komputera).
- Jeśli użytkownik ma konto Active Directory, w odpowiednim polu tekstowym wpisz jego atrybut sAMAccountName w następującym formacie: domena\nazwa_użytkownika.
Jeśli na przykład Twoja domena to example.com, a użytkownik loguje się do systemu Windows przy użyciu nazwy użytkownika jkowalski, wpisz atrybut sAMAccountName
example.com\jkowalski
.Uwaga:
- Możesz podać tylko jedno konto Active Directory dla danego użytkownika. Jeśli wpiszesz ich więcej, GCPW użyje tylko pierwszego wpisu.
- Jeśli dodasz także wpis dla konta lokalnego (opisany w następnym kroku), GCPW najpierw wyszuka konto Active Directory.
- Jeśli użytkownik ma lokalny profil systemu Windows, w odpowiednim polu tekstowym wpisz informacje o koncie w takim formacie: un:nazwa_użytkownika_w_systemie_Windows.Nazwa użytkownika systemu Windows może zawierać spacje. Jeśli użytkownik ma kilka lokalnych kont systemu Windows, wpisz każde konto w nowym polu dla lokalnych kont systemu Windows (nowe pole jest dodawane, gdy zaczynasz wpisywać nazwę konta).
Aby ograniczyć dostęp użytkownika do określonego urządzenia, wpisz un:nazwa_użytkownika_w_systemie_Windows,sn:numer_seryjny_urządzenia. Nie stawiaj spacji po przecinku. Możesz wpisać tylko jeden numer seryjny urządzenia.
Jeśli na przykład użytkownik loguje się do systemu Windows przy użyciu nazwy użytkownika jkowalski, wpisz
un:jkowalski
. Aby użytkownik mógł logować się tylko na konkretnym urządzeniu o numerze seryjnym 123456, wpiszun:jkowalski,sn:123456
. - Zapisz ustawienia.
Aby zbiorczo zaktualizować informacje o użytkownikach, możesz dodać wartości atrybutów przy użyciu jednej z tych metod:
- Interfejs Directory API,
- Google Cloud Directory Sync (GCDS), by synchronizować wartości z Active Directory.
Następny krok: instalowanie GCPW
Wykonaj czynności opisane w artykule Instalowanie dostawcy danych uwierzytelniających Google do systemów Windows.
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.