הקצאת הרשאות לחשבונות משתמשים ב-Active Directory

Last reviewed 2024-06-26 UTC

במאמר הזה מוסבר איך להגדיר הקצאת משתמשים וקבוצות בין Active Directory לבין חשבון Cloud Identity או Google Workspace באמצעות Google Cloud Directory Sync‏ (GCDS).

כדי לפעול לפי המדריך הזה, צריך להיות לכם משתמש ב-Active Directory שיש לו הרשאה לנהל משתמשים וקבוצות ב-Active Directory. בנוסף, אם עדיין אין לכם חשבון Cloud Identity או Google Workspace, תצטרכו הרשאת אדמין לתחום ה-DNS כדי לאמת דומיינים. אם כבר יש לכם חשבון Cloud Identity או Google Workspace, ודאו שלמשתמש שלכם יש הרשאות של סופר-אדמין.

מטרות

  • מתקינים את GCDS ומקשרים אותו ל-Active Directory ול-Cloud Identity או ל-Google Workspace.
  • הגדרת GCDS להקצאת הרשאות למשתמשים, ואם רוצים, גם לקבוצות, ב- Google Cloud.
  • מגדירים משימה מתוזמנת להקצאת הרשאות רציפה.

עלויות

אם אתם משתמשים במהדורה החינמית של Cloud Identity, לא תשתמשו ברכיבים שחלים עליהם חיובים אם תפעלו לפי ההוראות במדריך הזה. Google Cloud

לפני שמתחילים

תכנון הפריסה של GCDS

בקטעים הבאים מוסבר איך לתכנן את הפריסה של GCDS.

החלטה איפה לפרוס את GCDS

‫GCDS יכול להקצות משתמשים וקבוצות מספריית LDAP ל-Cloud Identity או ל-Google Workspace. ‫GCDS פועל כמתווך בין שרת ה-LDAP לבין Cloud Identity או Google Workspace. הוא שולח שאילתות לספריית ה-LDAP כדי לאחזר את המידע הנדרש מהספרייה, ומשתמש ב-Directory API כדי להוסיף, לשנות או למחוק משתמשים בחשבון Cloud Identity או Google Workspace.

מכיוון ש-Active Directory Domain Services מבוסס על LDAP, ‏ GCDS מתאים מאוד להטמעת הקצאת הרשאות משתמשים בין Active Directory לבין Cloud Identity או Google Workspace.

כשמקשרים תשתית Active Directory מקומית אלGoogle Cloud, אפשר להריץ את GCDS באופן מקומי או במכונה וירטואלית של Compute Engine ב- Google Cloud. ברוב המקרים, הכי טוב להריץ את GCDS במקום:

  • המידע שמנוהל על ידי Active Directory כולל פרטים אישיים מזהים (PII) ונחשב בדרך כלל למידע רגיש, ולכן יכול להיות שלא תרצו לאפשר גישה ל-Active Directory מחוץ לרשת המקומית.
  • כברירת מחדל, Active Directory משתמש ב-LDAP לא מוצפן. אם אתם ניגשים ל-Active Directory מרחוק מתוך Google Cloud, אתם צריכים להשתמש בתקשורת מוצפנת. אפשר להצפין את החיבור באמצעות LDAPS ‏ (LDAP+SSL) או Cloud VPN.
  • התקשורת מ-GCDS אל Cloud Identity או Google Workspace מתבצעת באמצעות HTTPS, ולא נדרשים שינויים בהגדרות חומת האש.

אפשר להריץ את GCDS ב-Windows או ב-Linux. אפשר לפרוס את GCDS בבקר הדומיין, אבל מומלץ להריץ את GCDS במחשב נפרד. המחשב הזה צריך לעמוד בדרישות המערכת וצריכה להיות לו גישת LDAP ל-Active Directory. למרות שאין דרישה שהמחשב יהיה מצורף לדומיין או שיפעל ב-Windows, במדריך הזה מניחים ש-Cloud Directory Sync פועל במחשב Windows שמצורף לדומיין.

כדי לעזור בהגדרת הקצאת ההרשאות, GCDS כולל ממשק משתמש גרפי (GUI) שנקרא אשף ההגדרות. אם השרת שבו אתם מתכוונים להריץ את GCDS כולל את התקנת Desktop Experience, אתם יכולים להריץ את אשף ההגדרות בשרת עצמו. אחרת, אתם צריכים להריץ את אשף ההגדרות באופן מקומי ואז להעתיק את קובץ ההגדרות שנוצר לשרת, שבו תוכלו להשתמש בו כדי להריץ את GCDS. במדריך הזה אנחנו מניחים שאתם מריצים את אשף ההגדרות בשרת עם ממשק משתמש גרפי.

החלטה לגבי המיקום שממנו יאוחזרו הנתונים

‫GCDS משתמש ב-LDAP כדי לקיים אינטראקציה עם Active Directory ולאחזר מידע על משתמשים וקבוצות. כדי לאפשר את האינטראקציה הזו, צריך לספק ב-GCDS שם מארח ויציאה בהגדרה. בסביבת Active Directory קטנה שמופעל בה רק שרת קטלוג גלובלי (GC) אחד, אין בעיה לספק שם מארח ויציאה כי אפשר להפנות את GCDS ישירות לשרת הקטלוג הגלובלי.

בסביבה מורכבת יותר שבה פועלים שרתי GC מיותרים, הפניית GCDS לשרת יחיד לא מאפשרת להשתמש ביתירות ולכן היא לא אידיאלית. אפשר להגדיר מאזן עומסים שמפיץ שאילתות LDAP בין כמה שרתי GC ועוקב אחרי שרתים שאולי לא זמינים באופן זמני, אבל עדיף להשתמש במנגנון DC Locator כדי לאתר שרתים באופן דינמי.

כברירת מחדל, ב-GCDS צריך לציין במפורש את נקודת הקצה של שרת LDAP, והכלי לא תומך בשימוש במנגנון DC Locator. במדריך הזה, משתמשים ב-GCDS יחד עם סקריפט קטן של PowerShell שמפעיל את מנגנון DC Locator, כדי שלא תצטרכו להגדיר באופן סטטי נקודות קצה של שרתי קטלוג גלובלי.

הכנת חשבון Cloud Identity או Google Workspace

בקטע הזה מוסבר איך ליצור משתמש עבור GCDS. כדי לאפשר ל-GCDS אינטראקציה עם Directory API ועם Domain Shared Contacts API של Cloud Identity ו-Google Workspace, האפליקציה צריכה חשבון משתמש עם הרשאות אדמין.

כשנרשמתם ל-Cloud Identity או ל-Google Workspace, כבר יצרתם משתמש אחד עם הרשאת סופר-אדמין. אפשר להשתמש במשתמש הזה ב-GCDS, אבל עדיף ליצור משתמש נפרד שמשמש באופן בלעדי את Cloud Directory Sync:

  1. פותחים את מסוף Admin ונכנסים באמצעות משתמש הסופר-אדמין שיצרתם כשנרשמתם ל-Cloud Identity או ל-Google Workspace.

  2. יוצרים משתמש. הוראות מפורטות מופיעות במאמרים בנושא הוספת חשבון למשתמש חדש או הוספת חשבון למספר משתמשים (בטא).

  3. כשיוצרים את חשבון המשתמש, צריך לספק שם וכתובת אימייל מתאימים, כמו אלה:

    • שם פרטי: Google Cloud
    • שם משפחה: Directory Sync
    • כתובת האימייל הראשית: cloud-directory-sync

    שמירה על הדומיין הראשי בכתובת האימייל, גם אם הדומיין לא תואם ליער שממנו אתם מקצים הרשאות.

  4. כדי להגדיר סיסמה:

    • אם אפשרות הסיסמה זמינה בדף, מוודאים שלא מסומנת האפשרות יצירה אוטומטית של סיסמה חדשה, ואז מזינים סיסמה. מוודאים שלא מסומנת האפשרות דרישה לשינוי סיסמה בכניסה הבאה.
    • אם אפשרות הסיסמה לא זמינה בדף, שומרים את חשבון המשתמש החדש ואז מאפסים את הסיסמה של המשתמש.

כדי לאפשר ל-GCDS ליצור, לפרט ולמחוק חשבונות משתמשים וקבוצות, המשתמש צריך הרשאות נוספות. בנוסף, מומלץ להחריג את המשתמש מהכניסה היחידה (SSO). אחרת, יכול להיות שלא תוכלו להעניק מחדש הרשאה ל-GCDS אם תיתקלו בבעיות בכניסה היחידה. כדי לבצע את שתי הפעולות האלה, צריך להפוך את המשתמש לסופר-אדמין:

  1. בתפריט, עוברים אל ספרייה > משתמשים.
  2. מאתרים את המשתמש החדש ברשימה ופותחים אותו.
  3. בקטע תפקידים והרשאות של אדמין, לוחצים על הקצאת תפקידים.
  4. מפעילים את התפקיד סופר-אדמין.
  5. לוחצים על Save.

הגדרת הקצאת הרשאות למשתמשים

בקטעים הבאים מוסבר איך להגדיר הקצאת הרשאות למשתמשים.

יצירת משתמש Active Directory עבור GCDS

כדי שמערכת GCDS תוכל לאחזר מידע על משתמשים וקבוצות מ-Active Directory, היא צריכה גם משתמש בדומיין עם הרשאות גישה מספיקות. במקום לעשות שימוש חוזר במשתמש Windows קיים למטרה הזו, כדאי ליצור משתמש ייעודי ל-GCDS:

ממשק גרפי

  1. פותחים את הצמדת ה-MMC של Active Directory Users and Computers מתפריט 'התחלה'.
  2. עוברים לדומיין וליחידה הארגונית שבהם רוצים ליצור את המשתמש. אם יש כמה דומיינים ביער, צריך ליצור את המשתמש באותו דומיין כמו המחשב שבו מותקן GCDS.
  3. לוחצים לחיצה ימנית על חלונית החלון השמאלית ובוחרים באפשרות חדש > משתמש.
  4. צריך לציין שם וכתובת אימייל מתאימים, למשל:
    1. שם פרטי: Google Cloud
    2. שם משפחה: Directory Sync
    3. שם הכניסה של המשתמש: gcds
    4. שם הכניסה של המשתמש (לפני Windows 2000): gcds
  5. לוחצים על הבא.
  6. צריך לספק סיסמה שעומדת בדרישות של מדיניות הסיסמאות.
  7. מבטלים את הסימון של האפשרות המשתמש נדרש לשנות את הסיסמה בהתחברות הבאה.
  8. בוחרים באפשרות תוקף הסיסמה לא יפוג לעולם.
  9. לוחצים על הבא ואז על סיום.

PowerShell

  1. פותחים את מסוף PowerShell כאדמין.

  2. כדי ליצור משתמש, מריצים את הפקודה הבאה:

     New-ADUser -Name "Google Cloud Directory Sync" `
    -GivenName "Google Cloud" `
    -Surname "Directory Sync" `
    -SamAccountName "gcds" `
    -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) `
    -AccountPassword(Read-Host -AsSecureString "Type password for User") `
    -Enabled $True

עכשיו יש לכם את התנאים המוקדמים להתקנת GCDS.

התקנת GCDS

במחשב שבו תריצו את GCDS, מורידים ומריצים את תוכנת ההתקנה של GCDS. במקום להשתמש בדפדפן כדי להוריד את קובץ ההתקנה, אפשר להשתמש בפקודת PowerShell הבאה:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

אחרי שההורדה מסתיימת, אפשר להפעיל את אשף ההתקנה באמצעות הפקודה הבאה:

.\dirsync-win64.exe

אם כבר התקנתם את GCDS, תוכלו לעדכן את GCDS כדי לוודא שאתם משתמשים בגרסה העדכנית ביותר.

יצירת תיקייה להגדרת GCDS

GCDS שומר את ההגדרה שלו בקובץ XML. מכיוון שההגדרה הזו כוללת טוקן רענון של OAuth ש-GCDS משתמש בו כדי לבצע אימות ב-Google, חשוב לוודא שהתיקייה שמשמשת להגדרה מאובטחת כראוי.

בנוסף, מכיוון שמערכת GCDS לא דורשת גישה למשאבים מקומיים מלבד התיקייה הזו, אפשר להגדיר את GCDS כך שתפעל כמשתמש מוגבל, LocalService:

  1. במחשב שבו התקנתם את GCDS, מתחברים כאדמינים מקומיים.
  2. פותחים מסוף PowerShell עם הרשאות אדמין.

  3. מריצים את הפקודות הבאות כדי ליצור תיקייה בשם $Env:ProgramData\gcds לאחסון ההגדרות, וכדי להחיל רשימה של בקרת גישה (ACL) כך שרק ל-GCDS ולאדמינים תהיה גישה:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
New-Item -ItemType directory -Path  $gcdsDataFolder
&icacls "$gcdsDataFolder" /inheritance:r
&icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T

  4. כדי לקבוע את המיקום של התיקייה ProgramData, מריצים את הפקודה Write-Host $Env:ProgramData. בגרסאות באנגלית של Windows, הנתיב הזה יהיה בדרך כלל c:\ProgramData. תצטרכו את הנתיב הזה בהמשך.

התחברות אל Google

עכשיו תשתמשו באשף ההגדרות כדי להכין את ההגדרה של GCDS. ההנחיות האלה מבוססות על ההנחה שאתם מריצים את אשף ההגדרות באותו שרת שבו אתם מתכננים להריץ את GCDS.

אם משתמשים במחשב אחר כדי להריץ את אשף ההגדרות, צריך להעתיק את קובץ ההגדרות לשרת GCDS לאחר מכן. בנוסף, חשוב לדעת שאולי לא תהיה אפשרות לבדוק את ההגדרות במחשב אחר.

  1. מפעילים את אשף ההגדרות. אפשר למצוא את Configuration Manager בתפריט 'התחל' של Windows בקטע Google Cloud Directory Sync > Configuration Manager.

  2. לוחצים על Google Domain Configuration (הגדרת דומיין Google) > Connection Settings (הגדרות חיבור).

    הגדרות של Google Domains > הגדרות חיבור

  3. אישור GCDS והגדרת הגדרות הדומיין.

  4. בתפריט, לוחצים על קובץ > שמירה בשם.

  5. בתיבת הדו-שיח של הקובץ, מזינים PROGRAM_DATA\gcds\config.xml כשם הקובץ. מחליפים את PROGRAM_DATA\gcds\config.xml בנתיב לתיקייה ProgramData שהפקודה של PowerShell החזירה כשמריצים אותה בשלב מוקדם יותר.PROGRAM_DATA

  6. לוחצים על שמירה ואז על אישור.

קישור ל-Active Directory

השלב הבא הוא להגדיר את GCDS כך שיתחבר ל-Active Directory:

  1. ב-Configuration Manager, לוחצים על LDAP Configuration > Connection Settings (הגדרת LDAP > הגדרות חיבור).
  2. קובעים את הגדרות החיבור ל-LDAP:
    1. סוג השרת: בוחרים באפשרות MS Active Directory.
    2. סוג החיבור: בוחרים באפשרות LDAP רגיל או LDAP+SSL.
    3. שם מארח: מזינים את השם של שרת GC. ההגדרה הזו משמשת לבדיקה בלבד. בהמשך, תהפכו את האיתור של שרת GC לאוטומטי.
    4. יציאה: 3268 (GC) או 3269 (GC over SSL). שימוש בשרת GC במקום בבקר דומיין עוזר לוודא שאתם יכולים להקצות משתמשים מכל הדומיינים ביער Active Directory. בנוסף, חשוב לוודא שהאימות פועל אחרי העדכון של Microsoft ADV190023.
    5. סוג האימות: פשוט.
    6. משתמש מורשה: מזינים את שם המשתמש הראשי (UPN) של משתמש הדומיין שיצרתם קודם: gcds@UPN_SUFFIX_DOMAIN. מחליפים את UPN_SUFFIX_DOMAIN בדומיין המתאים של סיומת UPN של המשתמש. לחלופין, אפשר גם לציין את המשתמש באמצעות התחביר NETBIOS_DOMAIN_NAME\gcds.
    7. Base DN: כדי לוודא שהחיפושים מתבצעים בכל הדומיינים ביער, משאירים את השדה הזה ריק.
  3. כדי לוודא שההגדרות נכונות, לוחצים על בדיקת החיבור. אם החיבור נכשל, צריך לוודא שציינתם את שם המארח של שרת GC וששם המשתמש והסיסמה נכונים.
  4. לוחצים על Close.

החלטה לגבי מה להקצות

אחרי שחיברתם את GCDS בהצלחה, אתם יכולים להחליט אילו פריטים להקצות:

  1. ב-Configuration Manager, לוחצים על הגדרות כלליות.
  2. מוודאים שהאפשרות חשבונות משתמשים נבחרה.
  3. אם אתם מתכוונים להקצות הרשאות לקבוצות, ודאו שהתיבה Groups (קבוצות) מסומנת. אחרת, הסירו את הסימון מהתיבה.
  4. הסנכרון של יחידות ארגוניות לא נכלל בהיקף של מדריך זה, ולכן השאר את יחידות ארגוניות לא מסומן.
  5. לא מסמנים את האפשרויות פרופילים של משתמשים וסכימות בהתאמה אישית.

פרטים נוספים מופיעים במאמר קביעת ההקצאות.

הקצאת הרשאות למשתמשים

כדי להקצות משתמשים, צריך להגדיר איך למפות משתמשים בין Active Directory:

  1. באשף ההגדרות, לוחצים על חשבונות משתמשים > מאפייני משתמש נוספים.
  2. לוחצים על שימוש בערכי ברירת מחדל כדי למלא באופן אוטומטי את המאפיינים של שם פרטי ושם משפחה עם givenName ו-sn, בהתאמה.

ההגדרות שנותרו תלויות בשאלה אם אתם מתכוונים להשתמש ב-UPN או בכתובת האימייל כדי למפות את Active Directory למשתמשים ב-Cloud Identity או ב-Google Workspace, ובשאלה אם אתם צריכים להחיל החלפות של שמות דומיין. אם אתם לא בטוחים איזו אפשרות הכי מתאימה לכם, כדאי לעיין במאמר בנושא הרחבת ניהול הזהויות ב-Active Directory ל- Google Cloud.

UPN

  1. ב-Configuration Manager, לוחצים על User Accounts > User Attributes (חשבונות משתמשים > מאפייני משתמש).
  2. לוחצים על שימוש בברירות מחדל.
  3. משנים את המאפיין של כתובת האימייל ל-userPrincipalName.
  4. אם לא רוצים לסנכרן כתובות של כינויים, לוחצים על proxyAddresses > Remove.
  5. לוחצים על הכרטיסייה כללי חיפוש ואז על הוספת כלל חיפוש.

  6. מזינים את ההגדרות הבאות:

    1. היקף: עץ משנה

    2. כלל:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      הכלל הזה תואם לכל המשתמשים שלא הושבתו, אבל הוא מתעלם מחשבונות שירות מנוהלים ומחשבונות מחשב, וגם מחשבון המשתמש gcds.

    3. Base DN: משאירים את השדה ריק כדי לחפש בכל הדומיינים ביער.

  7. לוחצים על אישור כדי ליצור את הכלל.

UPN: החלפת דומיין

  1. ב-Configuration Manager, לוחצים על הכרטיסייה User Accounts (חשבונות משתמשים) > User Attributes (מאפייני משתמש).
  2. לוחצים על שימוש בברירות מחדל.
  3. משנים את מאפיין כתובת האימייל ל-userPrincipalName
  4. אם לא רוצים לסנכרן כתובות של כינויים, לוחצים על proxyAddresses > Remove.
  5. לוחצים על הכרטיסייה כללי חיפוש ואז על הוספת כלל חיפוש.

  6. מזינים את ההגדרות הבאות:

    1. היקף: עץ משנה

    2. כלל:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      הכלל הזה תואם לכל המשתמשים שלא הושבתו, אבל הוא מתעלם מחשבונות שירות מנוהלים ומחשבונות מחשב, וגם מחשבון המשתמש gcds.

    3. Base DN: משאירים את השדה ריק כדי לחפש בכל הדומיינים ביער.

  7. לוחצים על אישור כדי ליצור את הכלל.

  8. לוחצים על הגדרת הדומיין של Google > הגדרות החיבור ובוחרים באפשרות החלפת שמות הדומיין בכתובות אימייל של LDAP בשם הדומיין הזה.

אימייל

  1. ב-Configuration Manager, לוחצים על User Accounts (חשבונות משתמשים) > User Attributes (מאפייני משתמש).
  2. לוחצים על שימוש בברירות מחדל.
  3. לוחצים על הכרטיסייה כללי חיפוש ואז על הוספת כלל חיפוש.

  4. מזינים את ההגדרות הבאות:

    1. היקף: עץ משנה

    2. כלל:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      הכלל הזה תואם לכל המשתמשים שלא הושבתו שיש להם כתובת אימייל לא ריקה, אבל הוא מתעלם ממחשבים ומחשבונות שירות מנוהלים.

    3. Base DN: משאירים את השדה ריק כדי לחפש בכל הדומיינים ביער.

  5. לוחצים על אישור כדי ליצור את הכלל.

אימייל: החלפת דומיין

  1. ב-Configuration Manager, לוחצים על User Accounts (חשבונות משתמשים) > User Attributes (מאפייני משתמש).
  2. לוחצים על שימוש בברירות מחדל.
  3. אם לא רוצים לסנכרן כתובות של כינויים, לוחצים על proxyAddresses > Remove.
  4. לוחצים על הכרטיסייה כללי חיפוש ואז על שימוש בברירות מחדל.
  5. לוחצים על הגדרת הדומיין של Google > הגדרות חיבור ובוחרים באפשרות החלפת שמות הדומיין בכתובות אימייל של LDAP בשם הדומיין הזה.

פרטים נוספים על מיפוי מאפייני משתמשים זמינים במאמר בנושא הגדרת סנכרון באמצעות אשף ההגדרות.

המדיניות בנושא מחיקת נתונים

עד עכשיו, ההגדרה התמקדה בהוספה ובעדכון של משתמשים ב-Cloud Identity או ב-Google Workspace. עם זאת, חשוב גם שמשתמשים שהושבתו או נמחקו ב-Active Directory יושעו או יימחקו ב-Cloud Identity או ב-Google Workspace.

במסגרת תהליך הקצאת ההרשאות, GCDS יוצר רשימה של משתמשים ב-Cloud Identity או ב-Google Workspace שאין להם התאמות מקבילות בתוצאות של שאילתת ה-LDAP ב-Active Directory. מכיוון שהשאילתה של LDAP כוללת את הסעיף (!(userAccountControl:1.2.840.113556.1.4.803:=2)), כל המשתמשים שהושבתו או נמחקו ב-Active Directory מאז ההקצאה האחרונה ייכללו ברשימה הזו. ההתנהגות בברירת המחדל של GCDS היא מחיקת המשתמשים האלה ב-Cloud Identity או ב-Google Workspace, אבל אתם יכולים להתאים אישית את ההתנהגות הזו:

  1. ב-Configuration Manager, לוחצים על User Accounts > User Attributes (חשבונות משתמשים > מאפייני משתמש).
  2. בקטע Google Domain Users Deletion/Suspension Policy (מדיניות בנושא מחיקה או השעיה של משתמשים בדומיין Google), מוודאים שהאפשרות Don't suspend or delete Google domain admins not found in LDAP (לא להשעות או למחוק אדמינים בדומיין Google שלא נמצאים ב-LDAP) מסומנת. ההגדרה הזו מבטיחה ש-GCDS לא ישעה או ימחק את משתמש הסופר-אדמין שבו השתמשתם כדי להגדיר את חשבון Cloud Identity או Google Workspace.
  3. אפשר לשנות את המדיניות בנושא מחיקת נתונים עבור משתמשים שאינם אדמינים.

אם אתם משתמשים בכמה מקרים נפרדים של GCDS כדי להקצות דומיינים או יערות שונים לחשבון יחיד ב-Cloud Identity או ב-Google Workspace, חשוב לוודא שהמקרים השונים של GCDS לא מפריעים זה לזה. כברירת מחדל, משתמשים ב-Cloud Identity או ב-Google Workspace שהוקצו ממקור אחר יזוהו ב-Active Directory כאילו הם נמחקו. כדי למנוע את המצב הזה, אפשר להעביר את כל המשתמשים שלא נכללים בהיקף של הדומיין או היער שאתם מקצים מהם הרשאות, ליחידה ארגונית אחת ואז להחריג את היחידה הארגונית הזו.

  1. באשף ההגדרות, לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: נתיב מלא של הארגון
    2. סוג התאמה: התאמה מדויקת

    3. כלל החרגה: מזינים את הנתיב ליחידה הארגונית ואת השם שלה. לדוגמה:

      ROOT OU/EXCLUDED OU

      מחליפים את ROOT OU/EXCLUDED OU בנתיב של היחידה הארגונית ובשם של היחידה הארגונית שרוצים להחריג.

  4. לוחצים על אישור כדי ליצור את הכלל.

לחלופין, אם לא מתאים לעסק שלכם להחריג יחידה ארגונית אחת, אתם יכולים להחריג דומיין או יער על סמך כתובות האימייל של המשתמשים.

UPN

  1. באשף ההגדרות, לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת האימייל של המשתמש
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$
       מחליפים את UPN_SUFFIX_DOMAIN בדומיין של סיומת ה-UPN, כמו בדוגמה הזו: 
      .*@((?!corp.example.com).*)$

      אם אתם משתמשים ביותר מדומיין אחד של סיומת UPN, אתם צריכים להרחיב את הביטוי כמו שמוצג כאן:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. לוחצים על אישור כדי ליצור את הכלל.

UPN: החלפת דומיין

  1. באשף ההגדרות, לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת האימייל של המשתמש
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      מחליפים את SUBSTITUTION_DOMAIN בדומיין שבו משתמשים כדי להחליף את סיומת הדומיין של ה-UPN, כמו בדוגמה הזו:

      .*@((?!corp.example.com).*)$

  4. לוחצים על אישור כדי ליצור את הכלל.

אימייל

  1. באשף ההגדרות, לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת האימייל של המשתמש
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!MX_DOMAIN).*)$

      מחליפים את MX_DOMAIN בשם הדומיין שבו אתם משתמשים בכתובות האימייל, כמו בדוגמה הזו:

      .*@((?!corp.example.com).*)$

      אם אתם משתמשים ביותר מדומיין אחד של סיומת UPN, אתם צריכים להרחיב את הביטוי כמו שמוצג כאן:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. לוחצים על אישור כדי ליצור את הכלל.

אימייל: החלפת דומיין

  1. באשף ההגדרות, לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת האימייל של המשתמש
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      מחליפים את SUBSTITUTION_DOMAIN בדומיין שבו אתם משתמשים כדי להחליף את דומיין האימייל, כמו בדוגמה הזו:

      .*@((?!corp.example.com).*)$

  4. לוחצים על אישור כדי ליצור את הכלל.

פרטים נוספים על הגדרות המחיקה וההשעיה מופיעים במאמר מידע נוסף על האפשרויות ב-Configuration Manager.

הקצאת הרשאות לקבוצות

השלב הבא הוא להגדיר איך למפות קבוצות בין Active Directory לבין Cloud Identity או Google Workspace. התהליך הזה משתנה בהתאם לשאלה אם אתם מתכננים למפות קבוצות לפי שם משותף או לפי כתובת אימייל.

הגדרת מיפויי קבוצות לפי שם נפוץ

קודם צריך לזהות את סוגי קבוצות האבטחה שרוצים להקצות, ואז ליצור שאילתת LDAP מתאימה. בטבלה הבאה מופיעות שאילתות נפוצות שאפשר להשתמש בהן.

סוג שאילתת LDAP
קבוצות מקומיות בדומיין (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
קבוצות גלובליות (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
קבוצות אוניברסליות (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
קבוצות גלובליות ואוניברסליות (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))
כל הקבוצות (objectCategory=group)

השאילתה לקבוצות גלובליות כוללת גם קבוצות שמוגדרות ב-Active Directory, כמו בקרי דומיין. אפשר לסנן את הקבוצות האלה על ידי הגבלת החיפוש לפי יחידה ארגונית (ou).

ההגדרות הנותרות תלויות בכוונה שלכם להשתמש ב-UPN או בכתובת אימייל כדי למפות את Active Directory למשתמשים ב-Cloud Identity או ב-Google Workspace.

UPN

  1. ב-Configuration Manager, לוחצים על Groups (קבוצות) > Search Rules (כללי חיפוש).
  2. לוחצים על שימוש בברירות מחדל כדי להוסיף שני כללי ברירת מחדל.
  3. לוחצים על סמל העריכה של הכלל הראשון.
  4. עורכים את הכלל כדי להחליף את שאילתת ה-LDAP.
  5. בתיבה Groups, מזינים את ההגדרות הבאות:
    1. מאפיין כתובת האימייל של הקבוצה: cn
    2. מאפיין כתובת האימייל של המשתמש: userPrincipalName
  6. לוחצים על הכרטיסייה Prefix-Suffix (קידומת-סיומת).

  7. בתיבה כתובת האימייל של הקבוצה, מזינים את ההגדרות הבאות:

    1. סיומת: @PRIMARY_DOMAIN, כשמחליפים את @PRIMARY_DOMAIN בדומיין הראשי של חשבון Cloud Identity או Google Workspace. למרות שההגדרה נראית מיותרת כי GCDS מוסיף את הדומיין באופן אוטומטי, צריך לציין את ההגדרה במפורש כדי למנוע ממקרים מרובים של GCDS למחוק חברים בקבוצה שהם לא הוסיפו.

      דוגמה: @example.com

    2. לוחצים על OK.

  8. לוחצים על סמל הצלב של הכלל השני כדי למחוק אותו.

אימייל

  1. ב-Configuration Manager, לוחצים על Groups (קבוצות) > Search Rules (כללי חיפוש).
  2. לוחצים על שימוש בברירות מחדל כדי להוסיף כמה כללי ברירת מחדל.
  3. לוחצים על סמל העריכה של הכלל הראשון.
  4. עורכים את הכלל כדי להחליף את שאילתת ה-LDAP.
  5. בתיבה קבוצות, עורכים את מאפיין כתובת האימייל של הקבוצה ומזינים את ההגדרה cn.
  6. לוחצים על OK.

אותן הגדרות חלות גם אם השתמשתם בהחלפת דומיין כשמיפיתם משתמשים.

הגדרת מיפוי קבוצות לפי כתובת אימייל

קודם צריך לזהות את סוגי קבוצות האבטחה שרוצים להקצות, ואז ליצור שאילתת LDAP מתאימה. בטבלה הבאה מופיעות שאילתות נפוצות שאפשר להשתמש בהן.

סוג שאילתת LDAP
קבוצות מקומיות בדומיין עם כתובת אימייל (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
קבוצות גלובליות עם כתובת אימייל (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
קבוצות אוניברסליות עם כתובת אימייל (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
קבוצות גלובליות ואוניברסליות עם כתובת אימייל (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))
כל הקבוצות עם כתובת אימייל (&(objectCategory=group)(mail=*))

ההגדרות שנותרו תלויות בשאלה אם אתם מתכוונים להשתמש ב-UPN או בכתובת אימייל כדי למפות את Active Directory למשתמשים ב-Cloud Identity או ב-Google Workspace.

UPN

  1. ב-Configuration Manager, לוחצים על Groups (קבוצות) > Search Rules (כללי חיפוש).
  2. לוחצים על שימוש בברירות מחדל כדי להוסיף שני כללי ברירת מחדל.
  3. לוחצים על סמל העריכה של הכלל הראשון.
  4. עורכים את הכלל כדי להחליף את שאילתת ה-LDAP.
  5. בתיבה Groups, עורכים את User Email Name Attribute ומזינים את ההגדרה userPrincipalName.
  6. לוחצים על OK.
  7. לוחצים על סמל הצלב של הכלל השני כדי למחוק אותו.

אימייל

  1. ב-Configuration Manager, לוחצים על Groups (קבוצות) > Search Rules (כללי חיפוש).
  2. לוחצים על שימוש בברירות מחדל כדי להוסיף כמה כללי ברירת מחדל.
  3. לוחצים על סמל העריכה של הכלל הראשון.
  4. עורכים את הכלל כדי להחליף את שאילתת ה-LDAP.
  5. לוחצים על OK.
  6. כדי להסיר את הכלל, לוחצים על סמל הצלב של הכלל השני.

אם הפעלתם את האפשרות החלפת שמות הדומיין בכתובות אימייל של LDAP בשם הדומיין הזה, היא חלה גם על כתובות אימייל של קבוצות וחברים.

המדיניות בנושא מחיקת נתונים

‫GCDS מטפל במחיקת קבוצות באופן דומה למחיקת משתמשים. אם אתם משתמשים בכמה מופעים נפרדים של GCDS כדי להקצות דומיינים או יערות שונים לחשבון Cloud Identity או לחשבון Google Workspace יחיד, חשוב לוודא שהמופעים השונים של GCDS לא מפריעים זה לזה.

כברירת מחדל, חבר בקבוצה ב-Cloud Identity או ב-Google Workspace שהוקצה ממקור אחר יזוהה ב-Active Directory באופן שגוי כאילו הוא נמחק. כדי להימנע ממצב כזה, צריך להגדיר את GCDS כך שיתעלם מכל חברי הקבוצה שנמצאים מחוץ להיקף של הדומיין או היער שאתם מקצים ממנו הרשאות.

UPN

  1. לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת אימייל של גורם בקבוצה
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      מחליפים את UPN_SUFFIX_DOMAIN בדומיין של סיומת ה-UPN, כמו בדוגמה הבאה:

      .*@((?!corp.example.com).*)$

      אם אתם משתמשים ביותר מדומיין אחד של סיומת UPN, אתם צריכים להרחיב את הביטוי כמו שמוצג כאן:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. לוחצים על אישור כדי ליצור את הכלל.

UPN: החלפת דומיין

  1. לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת אימייל של גורם בקבוצה
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      מחליפים את SUBSTITUTION_DOMAIN בדומיין שבו משתמשים כדי להחליף את סיומת הדומיין של ה-UPN, כמו בדוגמה הזו:

      .*@((?!corp.example.com).*)$

  4. לוחצים על אישור כדי ליצור את הכלל.

אימייל

  1. לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת אימייל של גורם בקבוצה
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!MX_DOMAIN).*)$

      מחליפים את MX_DOMAIN בשם הדומיין שבו אתם משתמשים בכתובות אימייל, כמו בדוגמה הבאה:

      .*@((?!corp.example.com).*)$

      אם אתם משתמשים ביותר מדומיין אחד של סיומת UPN, אתם צריכים להרחיב את הביטוי כמו שמוצג כאן:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. לוחצים על אישור כדי ליצור את הכלל.

אימייל: החלפת דומיין

  1. לוחצים על הגדרת דומיין Google > כללי החרגה.
  2. לוחצים על הוספת כלל החרגה.

  3. מגדירים את ההגדרות הבאות:

    1. סוג: כתובת אימייל של גורם בקבוצה
    2. סוג התאמה: ביטוי רגולרי

    3. כלל החרגה: אם משתמשים בדומיין אחד של סיומת UPN, מזינים את הביטוי הרגולרי הבא:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      מחליפים את SUBSTITUTION_DOMAIN בדומיין שבו רוצים להשתמש כדי להחליף את דומיין האימייל, כמו בדוגמה הבאה:

      .*@((?!corp.example.com).*)$

    4. לוחצים על אישור כדי ליצור את הכלל.

מידע נוסף על הגדרות הקבוצות זמין במאמר מידע נוסף על אפשרויות Configuration Manager.

הגדרת רישום ביומן והתראות

כדי שהמשתמשים יישארו מסונכרנים, צריך להריץ את GCDS על בסיס מתוזמן. כדי שתוכלו לעקוב אחרי הפעילות של GCDS ובעיות פוטנציאליות, אתם יכולים לקבוע איך ומתי GCDS יכתוב את קובץ היומן שלו:

  1. ב-Configuration Manager (הכלי לניהול הגדרות), לוחצים על Logging (רישום ביומן).
  2. מגדירים את שם הקובץ לערך PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. מחליפים את PROGRAM_DATA בנתיב לתיקייה ProgramData שהפקודה ב-PowerShell החזירה כשמריצים אותה.

  3. לוחצים על קובץ > שמירה כדי לשמור את שינויי ההגדרה בדיסק, ואז לוחצים על אישור.

בנוסף לרישום ביומן,‏ GCDS יכול לשלוח התראות באימייל. כדי להפעיל את השירות הזה, לוחצים על התראות ומזינים את פרטי החיבור לשרת הדואר.

סימולציה של הקצאת הרשאות למשתמשים

סיימתם את ההגדרה של GCDS. כדי לוודא שההגדרה פועלת כמצופה, צריך קודם לשמור את ההגדרה בדיסק ואז להפעיל סימולציה של הקצאת הרשאות למשתמש. במהלך הסימולציה, GCDS לא יבצע שינויים בחשבון Cloud Identity או בחשבון Google Workspace, אלא ידווח על השינויים שהוא יבצע במהלך הקצאת הרשאות רגילה.

  1. ב-Configuration Manager, לוחצים על סנכרון.
  2. בתחתית המסך, בוחרים באפשרות ניקוי מטמון ואז לוחצים על הדמיית סנכרון.
  3. אחרי שהתהליך מסתיים, בודקים את הקטע Proposed changes (שינויים מוצעים) ביומן שמוצג בחלק התחתון של תיבת הדו-שיח, ומוודאים שלא בוצעו שינויים לא רצויים כמו מחיקה או השעיה של משתמשים או קבוצות.

הקצאת הרשאות ראשונית למשתמשים

עכשיו אפשר להפעיל את הקצאת ההרשאות הראשונית למשתמשים:

אזהרות

  • הפעלת הקצאת הרשאות למשתמשים תגרום לשינויים קבועים במשתמשים ובקבוצות בחשבון Cloud Identity או בחשבון Google Workspace.
  • אם יש לכם מספר גדול של משתמשים להקצאה, כדאי לשנות באופן זמני את שאילתת ה-LDAP כך שתתאים רק לקבוצת משנה של המשתמשים האלה. באמצעות קבוצת המשנה הזו של משתמשים, תוכלו לבדוק את התהליך ולשנות את ההגדרות אם צריך. אחרי שמאמתים את התוצאות בהצלחה, משנים בחזרה את שאילתת ה-LDAP ומקצים את שאר המשתמשים.
  • במהלך הבדיקה, מומלץ להימנע משינוי או מחיקה חוזרים של מספר גדול של משתמשים, כי פעולות כאלה עלולות להיחשב כהתנהגות פוגעת.

מפעילים הרצת הקצאה באופן הבא:

  1. ב-Configuration Manager, לוחצים על סנכרון.

  2. בתחתית המסך, בוחרים באפשרות ניקוי מטמון ואז לוחצים על סנכרון והחלת שינויים.

    מופיעה תיבת דו-שיח עם הסטטוס.

  3. בסיום התהליך, בודקים את היומן שמוצג בחלק התחתון של תיבת הדו-שיח:

    1. בקטע Successful user changes (שינויים מוצלחים במשתמשים), מוודאים שנוצר לפחות משתמש אחד.
    2. בקטע כשלים, מוודאים שלא היו כשלים.

תזמון הקצאת הרשאות

כדי לוודא שהשינויים שמתבצעים ב-Active Directory מועברים לחשבון Cloud Identity או לחשבון Google Workspace, צריך להגדיר משימה מתוזמנת שמפעילה הרצת הקצאת הרשאות כל שעה:

  1. פותחים את מסוף PowerShell כאדמין.

  2. בודקים אם מודול Active Directory PowerShell זמין במערכת:

    import-module ActiveDirectory

    אם הפקודה נכשלת, צריך להוריד ולהתקין את הכלים לניהול שרתים מרוחקים ולנסות שוב.

  3. בפנקס רשימות, יוצרים קובץ, מעתיקים אליו את התוכן הבא ושומרים את הקובץ במיקום %ProgramData%\gcds\sync.ps1. בסיום, סוגרים את הקובץ.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True)]
    [string]$config,

    [Parameter(Mandatory=$True)]
    [string]$gcdsInstallationDir
)

import-module ActiveDirectory

# Stop on error.
$ErrorActionPreference ="stop"

# Ensure it's an absolute path.
$rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)

# Discover closest GC in current domain.
$dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)

# Load XML and replace the endpoint.
$dom = [xml](Get-Content $rawConfigPath)
$ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")

# Tweak the endpoint.
$ldapConfigNode.hostname = [string]$dc.HostName
$ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
$ldapConfigNode.port = "3268"   # Always use GC port

# Tweak the tsv files location
$googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
$googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
$googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")

# Save resulting config.
$targetConfigPath = $rawConfigPath + ".autodiscover"

$writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
$dom.Save($writer)
$writer.Close()

# Start provisioning.
Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
    -Wait -ArgumentList "--apply --config ""$targetConfigPath"""

  4. ‫Configuration Manager יצר מפתח סודי להצפנת פרטי הכניסה בקובץ ההגדרות. כדי לוודא ש-GCDS עדיין יכול לקרוא את ההגדרה כשהוא מופעל כמשימה מתוזמנת, מריצים את הפקודות הבאות כדי להעתיק את המפתח הסודי מהפרופיל שלכם לפרופיל של NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
    -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util

    אם הפקודות נכשלות, צריך לוודא שהפעלתם את מסוף PowerShell כאדמין.

  5. מריצים את הפקודות הבאות כדי ליצור משימה מתוזמנת. המשימה המתוזמנת תופעל כל שעה ותפעיל את הסקריפט sync.ps1 בתור NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
$gcdsDir = "$Env:ProgramData\gcds"

$action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
  -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
  -WorkingDirectory $gcdsDir
$trigger = New-ScheduledTaskTrigger `
  -Once `
  -At (Get-Date) `
  -RepetitionInterval (New-TimeSpan -Minutes 60) `
  -RepetitionDuration (New-TimeSpan -Days (365 * 20))

$principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName

$task = Get-ScheduledTask -TaskName "$taskName"
$task.Settings.ExecutionTimeLimit = "PT12H"
Set-ScheduledTask $task

מידע נוסף זמין במאמר בנושא תזמון סנכרונים אוטומטיים.

בדיקת הקצאת הרשאות לחשבון למטרות בדיקה

השלמתם את ההתקנה וההגדרה של GCDS, והפעלה של הקצאת הרשאות תופעל כל שעה על ידי המשימה המתוזמנת.

כדי להפעיל הקצאת הרשאות באופן ידני, עוברים למסוף PowerShell ומריצים את הפקודה הבאה:

Start-ScheduledTask "Synchronize to Cloud Identity"

הסרת המשאבים

כדי להסיר את GCDS, פועלים לפי השלבים הבאים:

  1. פותחים את לוח הבקרה של Windows ולוחצים על תוכניות > הסרת תוכנה.
  2. בוחרים באפשרות Google Cloud Directory Sync ולוחצים על הסרה/שינוי כדי להפעיל את אשף ההסרה. ואז פועלים לפי ההוראות באשף.

  3. פותחים מסוף PowerShell ומריצים את הפקודה הבאה כדי להסיר את המשימה המתוזמנת:

    $taskName = "Synchronize to Cloud Identity"
Unregister-ScheduledTask -TaskName $taskName -Confirm:$False

  4. מריצים את הפקודה הבאה כדי למחוק את קובצי התצורה והיומן:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp

המאמרים הבאים