Google Apps Directory Sync 搜尋規則返回不完整的結果
我已經為我管理的一個 Active Directory 林成功設置了 Google Apps Directory Sync (GADS)。此林是使用 2012R2 的功能級別創建的。現在我正在為第二個森林設置 GADS。這片森林曾經處於 2003 年的功能級別,但後來被提升到 2008 年的功能級別。
在 GADS 中,我使用一對使用者帳戶搜尋規則來暫停在 AD 中禁用的 Google Apps 使用者和在 AD 中啟用的取消暫停使用者。這種安排在我建立的第一個森林中完美無缺。但在我的新森林中,它返回不完整的數據。
以下是我正在使用的查詢:
不要暫停 (&(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
暫停 (&(objectCategory=person)(userAccountControl:1.2.840.113556.1.4.803:=2))
這就是問題所在:如果我在 GADS 界面中對該暫停查詢執行“測試 LDAP 查詢”,它只會返回兩個使用者。但是總共有 36 個使用者應該被退回。由於查詢未找到已禁用使用者的完整列表,因此當我在 AD 中禁用某人並執行同步時,GADS 不會在 Google Apps 中禁用該使用者。
當我在非 GADS LDAP 查詢工具 (VTLDAPQuery) 中執行相同的查詢時,它會返回完整列表。
GADS 在我測試查詢時返回的兩個使用者是在 2003 年創建的。其他的 34 個,我相信是在功能級別提升之後創建的。
好吧,我想通了,現在我對自己很生氣。問題是用於執行 LDAP 查詢的服務帳戶的權限不足。在沒有像我們那樣搞砸的森林中,可能不需要特殊權限,但在我的特定域中,將 LDAP 查詢帳戶添加到“域管理員”立即解決了問題。我將不得不繼續試驗以找到所需的最低權限級別,但顯然是權限有問題。