Aprovisionamento de contas de utilizador do Active Directory

Este documento mostra-lhe como configurar o aprovisionamento de utilizadores e grupos entre o Active Directory e a sua conta do Cloud Identity ou Google Workspace através da Sincronização de diretórios do Google Cloud (GCDS).

Para seguir este guia, tem de ter um utilizador do Active Directory que tenha autorização para gerir utilizadores e grupos no Active Directory. Além disso, se ainda não tiver uma conta do Cloud Identity ou do Google Workspace, precisa de acesso administrativo à sua zona DNS para validar domínios. Se já tiver uma conta do Cloud ID ou do Google Workspace, certifique-se de que o utilizador tem privilégios de superadministrador.

Objetivos

• Instale o GCDS e associe-o ao Active Directory e ao Cloud ID ou Google Workspace.
• Configure a GCDS para aprovisionar utilizadores e, opcionalmente, grupos para a app Google Cloud.
• Configure uma tarefa agendada para o aprovisionamento contínuo.

Custos

Se estiver a usar a edição gratuita do Cloud Identity, seguir este guia não usa componentes Google Cloud faturáveis.

Antes de começar

• Certifique-se de que compreende como a gestão de identidades do Active Directory pode ser alargada a Google Cloud.

• Decida como quer mapear identidades, grupos e domínios. Em concreto, certifique-se de que respondeu às seguintes perguntas:

  • Que domínio DNS planeia usar como domínio principal para o Cloud Identity ou o Google Workspace? Que domínios DNS adicionais planeia usar como domínios secundários?
  • Precisa de usar a substituição de domínio?
  • Planeia usar o endereço de email (mail) ou o nome principal do utilizador (userPrincipalName) como identificadores comuns para os utilizadores?
  • Planeia aprovisionar grupos e, se sim, pretende usar o nome comum (cn) ou o endereço de email (mail) como identificadores comuns para grupos?

  Para ver orientações sobre como tomar estas decisões, consulte o documento de vista geral sobre a extensão da gestão de identidades e acessos do Active Directory a Google Cloud.

• Antes de associar o Active Directory de produção ao Google Cloud, considere usar um ambiente de teste do Active Directory para configurar e testar o aprovisionamento de utilizadores.

• Inscreva-se no Cloud Identity se ainda não tiver uma conta e adicione domínios DNS adicionais se necessário.

• Se estiver a usar a edição gratuita do Cloud ID e pretender aprovisionar mais de 50 utilizadores, peça um aumento do número total de utilizadores gratuitos do Cloud ID através do seu contacto de apoio técnico.

• Se suspeitar que algum dos domínios que planeia usar para o Cloud Identity pode ter sido usado por funcionários para registar contas de consumidor, considere migrar primeiro estas contas de utilizador. Para mais detalhes, consulte o artigo Avaliar contas de utilizador existentes.

Planeie a implementação do GCDS

As secções seguintes descrevem como planear a implementação do GCDS.

Decida onde implementar o GCDS

A GCDS pode aprovisionar utilizadores e grupos de um diretório LDAP para o Cloud Identity ou o Google Workspace. Atuando como intermediário entre o servidor LDAP e o Cloud Identity ou o Google Workspace, a GCDS consulta o diretório LDAP para obter as informações necessárias do diretório e usa a API Directory para adicionar, modificar ou eliminar utilizadores na sua conta do Cloud Identity ou Google Workspace.

Uma vez que os serviços de domínio do Active Directory se baseiam no LDAP, a GCDS é adequada para implementar o aprovisionamento de utilizadores entre o Active Directory e o Cloud Identity ou o Google Workspace.

Quando liga uma infraestrutura do Active Directory no local ao Google Cloud, pode executar o GCDS no local ou numa máquina virtual do Compute Engine no Google Cloud. Na maioria dos casos, é melhor executar o GCDS no local:

• Uma vez que as informações que o Active Directory gere incluem informações de identificação pessoal e são normalmente consideradas confidenciais, é recomendável que o Active Directory não seja acedido a partir de fora da rede local.
• Por predefinição, o Active Directory usa LDAP não encriptado. Se aceder ao Active Directory remotamente a partir do Google Cloud, deve usar a comunicação encriptada. Embora possa encriptar a ligação através do LDAPS (LDAP+SSL) ou da Cloud VPN.
• A comunicação do GCDS com o Cloud ID ou o Google Workspace é feita através de HTTPS e requer poucas ou nenhumas alterações à configuração da firewall.

Pode executar o GCDS no Windows ou no Linux. Embora seja possível implementar o GCDS no controlador de domínio, é melhor executar o GCDS numa máquina separada. Esta máquina tem de cumprir os requisitos de sistema e ter acesso LDAP ao Active Directory. Embora não seja um pré-requisito para que a máquina esteja associada a um domínio ou execute o Windows, este guia pressupõe que o Cloud Directory Sync é executado numa máquina Windows associada a um domínio.

Para ajudar na configuração do aprovisionamento, a GCDS inclui uma interface gráfica do utilizador (GUI) denominada Gestor de configuração. Se o servidor no qual pretende executar o GCDS tiver uma experiência de computador, pode executar o Gestor de configuração no próprio servidor. Caso contrário, tem de executar o Configuration Manager localmente e, em seguida, copiar o ficheiro de configuração resultante para o servidor, onde o pode usar para executar o GCDS. Este guia pressupõe que executa o Configuration Manager num servidor com uma GUI.

Decida onde obter os dados

O GCDS usa o LDAP para interagir com o Active Directory e para obter informações sobre utilizadores e grupos. Para tornar esta interação possível, o GCDS requer que faculte um nome de anfitrião e uma porta na configuração. Num pequeno ambiente do Active Directory que executa apenas um único servidor de catálogo global (GC), fornecer um nome de anfitrião e uma porta não é um problema porque pode direcionar o GCDS diretamente para o servidor de catálogo global.

Num ambiente mais complexo que execute servidores GC redundantes, apontar o GCDS para um único servidor não tira partido da redundância e, por isso, não é ideal. Embora seja possível configurar um equilibrador de carga que distribua consultas LDAP por vários servidores GC e monitorize os servidores que possam estar temporariamente indisponíveis, é preferível usar o mecanismo DC Locator para localizar servidores dinamicamente.

Por predefinição, o GCDS requer que especifique explicitamente o ponto final de um servidor LDAP e não suporta a utilização do mecanismo de localização do DC. Neste guia, complementa o GCDS com um pequeno script do PowerShell que ativa o mecanismo do localizador de DC para não ter de configurar estaticamente os pontos finais dos servidores do catálogo global.

Prepare a sua conta do Cloud ID ou Google Workspace

Esta secção descreve como criar um utilizador para o GCDS. Para permitir que o GCDS interaja com a API Directory e a API Domain Shared Contacts do Cloud Identity e do Google Workspace, a aplicação precisa de uma conta de utilizador com privilégios de administrador.

Quando se inscreveu no Cloud ID ou no Google Workspace, já criou um utilizador superadministrador. Embora possa usar este utilizador para o GCDS, é preferível criar um utilizador separado que seja usado exclusivamente pelo Cloud Directory Sync:

1. Abra a consola do administrador e inicie sessão com o utilizador superadministrador que criou quando se inscreveu no Cloud Identity ou no Google Workspace.

2. Crie um utilizador. Para instruções detalhadas, consulte os artigos Adicione uma conta para um novo utilizador ou Adicione uma conta para vários utilizadores (beta).

3. Quando criar a conta de utilizador, indique um nome e um endereço de email adequados, como os seguintes:

   • Nome próprio: Google Cloud
   • Apelido: Directory Sync
   • Email principal: cloud-directory-sync

   Mantenha o domínio principal no endereço de email, mesmo que o domínio não corresponda à floresta a partir da qual está a fazer o aprovisionamento.

4. Configure uma palavra-passe:

   • Se a opção de palavra-passe estiver disponível na página, certifique-se de que a opção Gerar automaticamente uma nova palavra-passe não está selecionada e, em seguida, introduza uma palavra-passe. Certifique-se de que a opção Pedir uma alteração de palavra-passe no próximo início de sessão não está selecionada.
   • Se a opção de palavra-passe não estiver disponível na página, guarde a nova conta de utilizador e, em seguida, reponha a palavra-passe do utilizador.

Para permitir que o GCDS crie, liste e elimine contas de utilizador e grupos, o utilizador precisa de privilégios adicionais. Além disso, é recomendável isentar o utilizador do início de sessão único. Caso contrário, pode não conseguir voltar a autorizar a GCDS quando tiver problemas de início de sessão único. Ambas as ações podem ser realizadas tornando o utilizador um superadministrador:

1. No menu, aceda a Diretório > Utilizadores.
2. Localize o utilizador recém-criado na lista e abra-o.
3. Em Funções e privilégios de administrador, clique em Atribuir funções.
4. Ative a função de superadministrador.
5. Clique em Guardar.

Configure o aprovisionamento de utilizadores

As secções seguintes descrevem como configurar o aprovisionamento de utilizadores.

Crie um utilizador do Active Directory para o GCDS

Para permitir que o GCDS obtenha informações sobre utilizadores e grupos do Active Directory, o GCDS também requer um utilizador do domínio com acesso suficiente. Em vez de reutilizar um utilizador do Windows existente para este fim, crie um utilizador dedicado para a GCDS:

Agora, tem os pré-requisitos instalados para instalar o GCDS.

Instale o GCDS

Na máquina na qual vai executar a GCDS, transfira e execute o instalador da GCDS. Em vez de usar um navegador para fazer a transferência, pode usar o seguinte comando do PowerShell para transferir o instalador:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Após a conclusão da transferência, pode iniciar o assistente de instalação executando o seguinte comando:

.\dirsync-win64.exe

Se já tiver o GCDS instalado, pode atualizar o GCDS para garantir que está a usar a versão mais recente.

Crie uma pasta para a configuração do GCDS

O GCDS armazena a respetiva configuração num ficheiro XML. Uma vez que esta configuração inclui um token de atualização do OAuth que o GCDS usa para fazer a autenticação no Google, certifique-se de que protege corretamente a pasta usada para a configuração.

Além disso, uma vez que a GCDS não requer acesso a recursos locais que não sejam esta pasta, pode configurar a GCDS para ser executada como um utilizador limitado, LocalService:

1. Na máquina onde instalou o GCDS, inicie sessão como administrador local.
2. Abra uma consola do PowerShell com privilégios de administrador.

3. Execute os seguintes comandos para criar uma pasta com o nome $Env:ProgramData\gcds para armazenar a configuração e aplicar uma lista de controlo de acesso (ACL) para que apenas o GCDS e os administradores tenham acesso:

   $gcdsDataFolder = "$Env:ProgramData\gcds"
   New-Item -ItemType directory -Path  $gcdsDataFolder
   &icacls "$gcdsDataFolder" /inheritance:r
   &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
   &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
   

4. Para determinar a localização da pasta ProgramData, execute o comando Write-Host $Env:ProgramData. Nas versões em inglês do Windows, este caminho é normalmente c:\ProgramData. Vai precisar deste caminho mais tarde.

Associe à Google

Agora, vai usar o Gestor de configuração para preparar a configuração do GCDS. Estes passos partem do princípio de que executa o Gestor de configuração no mesmo servidor onde planeia executar o GCDS.

Se usar um computador diferente para executar o Configuration Manager, certifique-se de que copia o ficheiro de configuração para o servidor do GCDS posteriormente. Tenha também em atenção que pode não ser possível testar a configuração noutro computador.

1. Inicie o Gestor de configuração. Pode encontrar o Gestor de configuração no menu Iniciar do Windows em Sincronização de diretórios do Google Cloud > Gestor de configuração.

2. Clique em Configuração do domínio Google > Definições de ligação.

   

3. Autorize o GCDS e configure as definições do domínio.

4. No menu, clique em Ficheiro > Guardar como.

5. Na caixa de diálogo do ficheiro, introduza PROGRAM_DATA\gcds\config.xml como o nome do ficheiro. Substitua PROGRAM_DATA pelo caminho para a pasta ProgramData que o comando do PowerShell devolveu quando o executou anteriormente.

6. Clique em Guardar e, de seguida, clique em OK.

Associe ao Active Directory

O passo seguinte é configurar o GCDS para estabelecer ligação ao Active Directory:

1. No Gestor de configuração, clique em Configuração do LDAP > Definições de ligação.
2. Configure as definições de ligação LDAP:
   1. Tipo de servidor: selecione MS Active Directory.
   2. Tipo de ligação: selecione LDAP padrão ou LDAP+SSL.
   3. Nome do anfitrião: introduza o nome de um servidor do GC. Esta definição é usada apenas para testes. Posteriormente, vai automatizar a descoberta do servidor do GC.
   4. Porta: 3268 (GC) ou 3269 (GC através de SSL). A utilização de um servidor GC em vez de um controlador de domínio ajuda a garantir que pode aprovisionar utilizadores de todos os domínios da sua floresta do Active Directory. Além disso, certifique-se de que a autenticação é feita após a atualização ADV190023 da Microsoft.
   5. Tipo de autenticação: simples.
   6. Utilizador autorizado: introduza o nome principal do utilizador (UPN) do utilizador do domínio que criou anteriormente: gcds@UPN_SUFFIX_DOMAIN. Substitua UPN_SUFFIX_DOMAIN pelo domínio de sufixo do UPN adequado para o utilizador. Em alternativa, também pode especificar o utilizador através da sintaxe NETBIOS_DOMAIN_NAME\gcds.
   7. DN base: deixe este campo vazio para garantir que as pesquisas são realizadas em todos os domínios na floresta.
3. Para validar as definições, clique em Testar ligação. Se a ligação falhar, verifique novamente se especificou o nome do anfitrião de um servidor do GC e se o nome de utilizador e a palavra-passe estão corretos.
4. Clique em Fechar.

Decida o que aprovisionar

Agora que associou o GCDS com êxito, pode decidir que itens aprovisionar:

1. No Gestor de configuração, clique em Definições gerais.
2. Certifique-se de que a opção Contas de utilizador está selecionada.
3. Se pretender aprovisionar grupos, certifique-se de que a opção Grupos está selecionada; caso contrário, desmarque a caixa de verificação.
4. A sincronização de unidades organizacionais está fora do âmbito deste guia, por isso, deixe a opção Unidades organizacionais desmarcada.
5. Deixe as opções Perfis de utilizadores e Esquemas personalizados desmarcadas.

Para mais detalhes, consulte o artigo Decida o que aprovisionar.

Aprovisione utilizadores

Para aprovisionar utilizadores, configure como mapear utilizadores entre o Active Directory:

1. No Configuration Manager, clique em Contas de utilizador > Atributos adicionais do utilizador.
2. Clique em Usar predefinições para preencher automaticamente os atributos de Nome próprio e Apelido com givenName e sn, respetivamente.

As restantes definições dependem de se pretende usar o UPN ou o endereço de email para mapear o Active Directory para utilizadores no Cloud ID ou no Google Workspace, e se precisa de aplicar substituições de nomes de domínio. Se não souber qual a opção mais adequada para si, consulte o artigo sobre como a gestão de identidades do Active Directory pode ser expandida para Google Cloud.

Para mais detalhes sobre o mapeamento de atributos do utilizador, consulte o artigo Configure a sincronização com o Gestor de configuração.

Política de eliminação

Até agora, a configuração focou-se na adição e atualização de utilizadores no Cloud Identity ou no Google Workspace. No entanto, também é importante que os utilizadores desativados ou eliminados no Active Directory sejam suspensos ou eliminados no Cloud ID ou no Google Workspace.

Como parte do processo de aprovisionamento, a GCDS gera uma lista de utilizadores no Cloud Identity ou no Google Workspace que não têm correspondências nos resultados da consulta LDAP do Active Directory. Uma vez que a consulta LDAP incorpora a cláusula (!(userAccountControl:1.2.840.113556.1.4.803:=2)), todos os utilizadores que foram desativados ou eliminados no Active Directory desde o último aprovisionamento vão ser incluídos nesta lista. O comportamento predefinido do GCDS é eliminar estes utilizadores no Cloud ID ou no Google Workspace, mas pode personalizar este comportamento:

1. No Configuration Manager, clique em Contas de utilizador > Atributos do utilizador.
2. Em Política de eliminação/suspensão de utilizadores do domínio Google, certifique-se de que a opção Não suspender nem eliminar administradores do domínio Google não encontrados no LDAP está selecionada. Esta definição garante que o GCDS não suspende nem elimina o utilizador superadministrador que usou para configurar a sua conta do Cloud ID ou Google Workspace.
3. Opcionalmente, altere a política de eliminação para utilizadores que não sejam administradores.

Se usar várias instâncias separadas do GCDS para aprovisionar diferentes domínios ou florestas numa única conta do Cloud Identity ou do Google Workspace, certifique-se de que as diferentes instâncias do GCDS não interferem umas com as outras. Por predefinição, os utilizadores no Cloud ID ou no Google Workspace aprovisionados a partir de uma origem diferente são identificados incorretamente no Active Directory como tendo sido eliminados. Para evitar esta situação, pode mover todos os utilizadores que estejam fora do âmbito do domínio ou da floresta a partir dos quais está a aprovisionar para uma única UO e, em seguida, excluir essa UO.

1. No Gestor de configuração, clique em Configuração do domínio Google > Regras de exclusão.
2. Clique em Adicionar regra de exclusão.

3. Configure as seguintes definições:

   1. Tipo: caminho completo da organização
   2. Tipo de correspondência: correspondência exata

   3. Regra de exclusão: introduza o caminho da UO e o respetivo nome. Por exemplo:

      ROOT OU/EXCLUDED OU

      Substitua ROOT OU/EXCLUDED OU pelo caminho da UO e o nome das UOs excluídas.

4. Clique em OK para criar a regra.

Em alternativa, se a exclusão de uma única UO não se adequar à sua empresa, pode excluir o domínio ou a floresta com base nos endereços de email dos utilizadores.

Para mais detalhes sobre as definições de eliminação e suspensão, consulte o artigo Saiba mais sobre as opções do Configuration Manager.

Aprovisione grupos

O passo seguinte é configurar como mapear grupos entre o Active Directory e o Cloud Identity ou o Google Workspace. Este processo difere consoante planeie mapear grupos por nome comum ou por endereço de email.

Configure mapeamentos de grupos por nome comum

Primeiro, tem de identificar os tipos de grupos de segurança que pretende aprovisionar e, em seguida, formular uma consulta LDAP adequada. A tabela seguinte contém consultas comuns que pode usar.

A consulta de grupos globais também abrange grupos definidos pelo Active Directory, como controladores de domínio. Pode filtrar estes grupos restringindo a pesquisa por unidade organizacional (ou).

As restantes definições dependem de se pretende usar o UPN ou o endereço de email para mapear o Active Directory para utilizadores no Cloud ID ou Google Workspace.

As mesmas definições também se aplicam se tiver usado a substituição de domínio ao mapear utilizadores.

Configure mapeamentos de grupos por endereço de email

Primeiro, tem de identificar os tipos de grupos de segurança que pretende aprovisionar e, em seguida, formular uma consulta LDAP adequada. A tabela seguinte contém consultas comuns que pode usar.

As restantes definições dependem de pretender usar o UPN ou o endereço de email para mapear o Active Directory para utilizadores no Cloud Identity ou no Google Workspace.

Se tiver ativado a opção Substituir nomes de domínios nos endereços de email de LDAP por este nome de domínio, esta opção também se aplica aos endereços de email de grupos e membros.

Política de eliminação

A GCDS processa a eliminação de grupos de forma semelhante à eliminação de utilizadores. Se usar várias instâncias separadas do GCDS para aprovisionar domínios ou florestas diferentes numa única conta do Cloud ID ou Google Workspace, certifique-se de que as diferentes instâncias do GCDS não interferem umas com as outras.

Por predefinição, um membro de um grupo no Cloud ID ou Google Workspace que tenha sido aprovisionado a partir de uma origem diferente é identificado incorretamente no Active Directory como tendo sido eliminado. Para evitar esta situação, configure o GCDS para ignorar todos os membros do grupo que estejam fora do âmbito do domínio ou da floresta a partir dos quais está a fazer o aprovisionamento.

Para mais informações sobre as definições do grupo, consulte o artigo Saiba mais sobre as opções do Gestor de configuração.

Configure o registo e as notificações

Para manter os utilizadores sincronizados, tem de executar o GCDS de forma agendada. Para lhe permitir acompanhar a atividade do GCDS e potenciais problemas, pode controlar como e quando o GCDS escreve o respetivo ficheiro de registo:

1. No Gestor de configuração, clique em Registo.
2. Defina Nome do ficheiro como PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Substitua PROGRAM_DATA pelo caminho da pasta ProgramData que o comando do PowerShell devolveu quando o executou anteriormente.

3. Clique em Ficheiro > Guardar para confirmar as alterações de configuração no disco e, em seguida, clique em OK.

Além do registo, a GCDS pode enviar notificações por email. Para ativar este serviço, clique em Notificações e faculte as informações de ligação para o seu servidor de correio.

Simule o aprovisionamento de utilizadores

Concluiu a configuração do GCDS. Para verificar se a configuração funciona conforme previsto, tem de guardar primeiro a configuração no disco e, em seguida, simular uma execução de aprovisionamento de utilizadores. Durante a simulação, o GCDS não efetua alterações à sua conta do Cloud Identity ou do Google Workspace, mas, em vez disso, comunica as alterações que faria durante uma execução de aprovisionamento normal.

1. No Gestor de configuração, clique em Sincronizar.
2. Na parte inferior do ecrã, selecione Limpar cache e, de seguida, clique em Simular sincronização.
3. Após a conclusão do processo, reveja a secção Alterações propostas do registo apresentado na metade inferior da caixa de diálogo e verifique se não existem alterações indesejadas, como a eliminação ou a suspensão de utilizadores ou grupos.

Aprovisionamento inicial de utilizadores

Já pode acionar o aprovisionamento inicial de utilizadores:

Acione uma execução de aprovisionamento da seguinte forma:

1. No Gestor de configuração, clique em Sincronizar.

2. Na parte inferior do ecrã, selecione Limpar cache e, de seguida, clique em Sincronizar e aplicar alterações.

   É apresentada uma caixa de diálogo que mostra o estado.

3. Após a conclusão do processo, verifique o registo apresentado na metade inferior da caixa de diálogo:

   1. Em Alterações de utilizadores bem-sucedidas, verifique se foi criado, pelo menos, um utilizador.
   2. Em Falhas, verifique se não ocorreram falhas.

Agende o aprovisionamento

Para garantir que as alterações efetuadas no Active Directory são propagadas para a sua conta do Cloud Identity ou do Google Workspace, configure uma tarefa agendada que aciona uma execução de aprovisionamento a cada hora:

1. Abra uma consola do PowerShell como administrador.

2. Verifique se o módulo do PowerShell do Active Directory está disponível no sistema:

   import-module ActiveDirectory

   Se o comando falhar, transfira e instale as Ferramentas de administração do servidor remoto e tente novamente.

3. No Bloco de notas, crie um ficheiro, copie o seguinte conteúdo para o mesmo e guarde-o em %ProgramData%\gcds\sync.ps1. Quando terminar, feche o ficheiro.

   [CmdletBinding()]
   Param(
       [Parameter(Mandatory=$True)]
       [string]$config,
   
       [Parameter(Mandatory=$True)]
       [string]$gcdsInstallationDir
   )
   
   import-module ActiveDirectory
   
   # Stop on error.
   $ErrorActionPreference ="stop"
   
   # Ensure it's an absolute path.
   $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
   
   # Discover closest GC in current domain.
   $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
   Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
   
   # Load XML and replace the endpoint.
   $dom = [xml](Get-Content $rawConfigPath)
   $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
   
   # Tweak the endpoint.
   $ldapConfigNode.hostname = [string]$dc.HostName
   $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
   $ldapConfigNode.port = "3268"   # Always use GC port
   
   # Tweak the tsv files location
   $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
   $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
   $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
   
   # Save resulting config.
   $targetConfigPath = $rawConfigPath + ".autodiscover"
   
   $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
   $dom.Save($writer)
   $writer.Close()
   
   # Start provisioning.
   Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
       -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
   

4. O Configuration Manager criou uma chave secreta para encriptar as credenciais no ficheiro de configuração. Para garantir que o GCDS consegue continuar a ler a configuração quando é executado como uma tarefa agendada, execute os seguintes comandos para copiar essa chave secreta do seu próprio perfil para o perfil de NT AUTHORITY\LOCAL SERVICE:

   New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
   Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
       -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
   

   Se os comandos falharem, certifique-se de que iniciou a consola do PowerShell como administrador.

5. Crie uma tarefa agendada executando os seguintes comandos. A tarefa agendada é acionada a cada hora e invoca o script sync.ps1 como NT AUTHORITY\LOCAL SERVICE.

   $taskName = "Synchronize to Cloud Identity"
   $gcdsDir = "$Env:ProgramData\gcds"
   
   $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
     -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
     -WorkingDirectory $gcdsDir
   $trigger = New-ScheduledTaskTrigger `
     -Once `
     -At (Get-Date) `
     -RepetitionInterval (New-TimeSpan -Minutes 60) `
     -RepetitionDuration (New-TimeSpan -Days (365 * 20))
   
   $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
   Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
   
   $task = Get-ScheduledTask -TaskName "$taskName"
   $task.Settings.ExecutionTimeLimit = "PT12H"
   Set-ScheduledTask $task
   

Para mais informações, consulte o artigo Agende sincronizações automáticas.

Teste o aprovisionamento de utilizadores

Concluiu a instalação e a configuração do GCDS e a tarefa agendada vai acionar uma execução de aprovisionamento a cada hora.

Para acionar uma execução de aprovisionamento manualmente, mude para a consola do PowerShell e execute o seguinte comando:

Start-ScheduledTask "Synchronize to Cloud Identity"

Limpar

Para remover o GCDS, siga estes passos:

1. Abra o Painel de Controlo do Windows e clique em Programas > Desinstalar um programa.
2. Selecione Sincronização de diretórios do Google Cloud e clique em Desinstalar/Alterar para iniciar o assistente de desinstalação. Em seguida, siga as instruções no assistente.

3. Abra uma consola do PowerShell e execute o seguinte comando para remover a tarefa agendada:

   $taskName = "Synchronize to Cloud Identity"
   Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
   

4. Execute o seguinte comando para eliminar os ficheiros de configuração e de registo:

   Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
   Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
   

O que se segue?

• Configure o Início de sessão único entre o Active Directory e o Google Cloud.
• Reveja as práticas recomendadas do GCDS e as Perguntas frequentes.
• Saiba como resolver problemas comuns do GCDS.
• Leia acerca das práticas recomendadas para planear contas e organizações e das práticas recomendadas para federar Google Cloud com um fornecedor de identidade externo.
• Familiarize-se com as práticas recomendadas para gerir utilizadores com privilégios de superadministrador.