A regra de pesquisa do Google Apps Directory Sync retorna resultados incompletos

Navegue suas respostas
2

Eu configurei com êxito o Google Apps Directory Sync (GADS) para uma das florestas do Active Directory que eu gerencio. Esta floresta foi criada com um nível funcional de 2012R2. Agora estou configurando o GADS para uma segunda floresta. Esta floresta costumava estar no nível funcional de 2003, mas depois foi elevada para um nível funcional de 2008.

No GADS, estou usando um par de regras de pesquisa da Conta de usuário que suspende os usuários do Google Apps que estão desativados no AD e suspendem a suspensão de usuários habilitados no AD. Esse arranjo funciona perfeitamente na primeira floresta que eu configurei. Mas na minha nova floresta, ele retorna dados incompletos.

Aqui estão as consultas que estou usando:

Não suspender (& (objectCategory = person) (! (userAccountControl: 1.2.840.113556.1.4.803: = 2)))

Suspender (& (objectCategory = person) (userAccountControl: 1.2.840.113556.1.4.803: = 2))

Este é o problema: se eu executar "Testar consulta LDAP" na interface do GADS nessa consulta de suspensão, retornará apenas dois usuários. Mas há 36 usuários no total que devem ser devolvidos. Como a consulta não está encontrando a lista completa de usuários com Deficiência, quando eu desativo alguém no AD e faço uma sincronização, o GADS não desativa o usuário no Google Apps.

Quando executo a mesma consulta em uma ferramenta de consulta LDAP que não é do GADS (VTLDAPQuery), ela me retorna a lista completa.

Os dois usuários que o GADS retorna quando eu testo a consulta foram criados de volta durante os dias de 2003. Os outros 34 eram, acredito , criados após o nível funcional ser gerado.

    
por Ryan Elainska 12.09.2016 / 19:42

2 respostas

1

Ok, eu percebi isso e agora estou com muita raiva de mim mesmo. O problema era permissões insuficientes para a conta de serviço que está sendo usada para executar a consulta LDAP. Em uma floresta que não estava tão complicada como a nossa, as permissões especiais provavelmente não seriam necessárias, mas no meu domínio específico, adicionar a conta de consulta LDAP aos "Admins. Do Domínio" resolveu o problema imediatamente. Eu terei que continuar experimentando para encontrar o nível mínimo de permissões necessárias, mas é claramente as permissões que estavam com defeito.

    
por 30.01.2017 / 16:42
0

Acabei de encontrar um problema semelhante, em que uma consulta LDAP no Google Cloud Directory Sync retornaria 109 usuários, mas a mesma consulta na ferramenta LDP da Microsoft retornou 118 usuários. O BaseDN foi o mesmo em ambos os casos, logado com a mesma conta de usuário BindDN. A consulta é tão simples quanto possível: (objectclass=user)

Essa acabou se tornando a solução mais fácil que se possa imaginar - o GCDS filtra automaticamente os resultados para selecionar apenas aqueles que têm um atributo "mail" adequadamente preenchido. Se o seu usuário não tiver um endereço de e-mail nas propriedades do AD ou o endereço de e-mail não for válido, o GCDS deixará o usuário nos resultados da pesquisa.

Este pode não ser o problema com resultados incompletos em todos os casos, mas foi o problema no meu caso, por isso espero que esta resposta seja útil para alguém.

    
por 26.01.2017 / 01:11

Tags

Execução de vários domínios de sites no Wildfly porque bind9 dá conexão recusada para permissão negada erro quando é 777