Соединитель Active Directory от Dropbox

Обновление Mar 13, 2024

Начиная с 13 апреля 2022 года для вызовов Соединителя Active Directory требуется TLS 1.2 или более поздние версии. После указанной даты поддержка вызовов с использованием TLS 1.0 и 1.1 будет прекращена. 

Как можно скорее обновите конфигурации TLS во избежание сбоев в работе.

Администраторы определенных типов могут управлять списком участников рабочей группы Dropbox с помощью Active Directory. Благодаря Соединителю Active Directory (Соединителю AD) от Dropbox все изменения, внесенные в Active Directory, будут автоматически синхронизироваться с Dropbox. 
highlighter icon

Обратите внимание: Соединитель AD (Active Directory) будет иметь преимущество перед изменениями, внесенными для управляемых пользователей в консоли администрирования Dropbox. Однако изменения и дополнения, внесенные для неуправляемых пользователей в консоли администрирования Dropbox, не будут отражены в AD.

Можно обратиться к нашим партнерам по управлению удостоверениями и попросить их помочь с установкой Соединителя AD в аккаунте Dropbox для рабочих групп.

Шаг 1: Посмотрите рекомендации по Соединителю Active Directory.

Обязательно

  • Все пользователи, которых вы хотели бы синхронизировать из Active Directory, должны быть активными пользователями на едином домене AD.
  • PowerShell 4.0 или более поздняя версия.
  • Windows Server 2008 (или более поздняя версия)
  • Средства для удаленного управления сервером

Рекомендуется

  • Создать единую группу под названием Dropbox, в которой будут содержаться все участники, которых нужно ввести в систему. В группу Dropbox можно поместить и пользователей, и подгруппы.
  • Установите Соединитель AD на сервер с правами только для чтения (Соединитель AD синхронизирует изменения только из AD).
  • Обновление предыдущей версии Соединителя AD: при простой установке обновление обычно происходит корректно при переходе с версии 2.0.1 на 2.0.2. Однако для обновления между версиями с большими различиями (с версии 1.0 до версии 2.0), сначала удалите установленную версию, а затем установите новую.
  • В актуальной версии Соединителя AD мы рекомендуем синхронизировать не более 10 000 пользователей из Active Directory. Свяжитесь с вашей командой по продвижению пользователей Dropbox, если вы хотите использовать Соединитель AD для групп, в которых более 10 000 пользователей.

Шаг 2: Скачайте установщик Microsoft для Соединителя AD (MSI).

Шаг 3: Установите Соединитель AD.

  1. Найдите и запустите установщик Dropbox-AD-Connector.msi.
  2. Нажмите в мастере установки Далее.
  3. Поставьте флажок, чтобы принять условия, потом нажмите Далее.
  4. Нажмите Далее, чтобы установить путь по умолчанию.
  5. Нажмите Установить, а затем выберите Да, если вам предложат это сделать в контроле учетных записей пользователей (User Account Control или UAC).
  6. Рядом с пунктом Приступая к работе (Getting Started) флажок установлен по умолчанию. Если у вас уже открыты эти инструкции, уберите флажок.
  7. Чтобы завершить установку, нажмите Завершить.

Шаг 4. Завершите настройку Соединителя AD.

Настройка

  1. Найдите значок Конфигурация Соединителя AD (Configure AD Connector) на рабочем столе и нажмите на него, чтобы открыть.
  2. Нажмите Получить маркер OAuth2, чтобы подключиться к аккаунту Dropbox.
    • При необходимости, войдите в Dropbox, используя учетные данные администратора.
    • При необходимости подтвердите разрешения для приложения Соединителя AD
  3. Скопируйте маркер.
  4. Вставьте скопированный маркер в поле OAuth 2 DfB Token.
  5. Если вы хотите провести тест настройки, поставьте флажок напротив Режима моделирования (Simulation Mode).
    • Значок выделения Обратите внимание: в режиме моделирования никакие изменения к вашей рабочей группе Dropbox не применяются.
Окно для настройки Соединителя AD Dropbox Business с подчеркнутой опцией «Режим моделирования»

Синхронизация пользователей Active Directory

  1. Выберите группу Active Directory, которую вы хотите синхронизировать с вашей рабочей группой Dropbox.
    • Проще всего создать группу Active Directory под названием «Dropbox».
  2. Проверьте: параметр Email Attribute должен быть установлен на Email Address.
  3. Поставьте флажок напротив параметра Управление существующими пользователями, чтобы синхронизировать изменения для пользователей, созданных вручную через консоль администрирования.

Синхронизация групп Active Directory

  1. Выберите, хотите ли вы синхронизировать группы с вашей рабочей группой Dropbox (синхронизация групп является необязательной).
  2. Чтобы синхронизировать группы, выберите, хотите ли вы использовать для этого ту же группу, с которой вы синхронизируете отдельных пользователей.
  3. Если вы выбрали другую группу для синхронизации групп, введите название этой группы.

Создание лога

  1. Если вы хотите указать другой адрес для лог-файла, нажмите Изменить (Change).
    • Обратите внимание: если вы не укажете другой адрес для файла журнала, он будет сохранен в расположение по умолчанию: C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log.

Уведомления по электронной почте

  1. Если вы хотите получать по электронной почте уведомления обо всех ошибках синхронизации, нажмите Настройки.
    • Обратите внимание: используйте порт 587 или порт 25 (не зашифрованный); порт 465 на настоящий момент не поддерживается.
  2. После заполнения всех полей используйте Тестовое соединение (Test Connection), чтобы удостовериться в правильности конфигурации.
  3. Нажмите OK после завершения конфигурации настроек эл. почты.
Окно для настроек уведомлений по электронной почте

Готово

  1. Нажмите Сохранить (Save), чтобы сохранить все настройки конфигурации.

Шаг 5: Опробуйте Соединитель Active Directory (с помощью инструмента Запуска Соединителя AD (Run AD Connector)) и проверьте, все ли правильно работает.

  1. Найдите значок Запуск Соединителя AD (Run AD Connector) на рабочем столе.
  2. Щелкните правой кнопкой мышки по значку Run AD Connector и Запустите от имени администратора (Run as Administrator).
  3. Просмотрите результаты и удостоверьтесь, попали ли в список все нужные пользователи.
  4. Если все нужные пользователи в списке, еще раз откройте Config AD Connector и уберите галочку из раздела Режим моделирования (Simulation Mode).
  5. С помощью инструмента Запустить Соединитель AD синхронизируйте новых участников со своим Dropbox для рабочих групп.

Шаг 6: Определите запланированную задачу и запустите ее.

  1. Найдите раздел Program Files \ Dropbox \ AD Connector \ Helpers.
  2. Щелкните правой кнопкой мышки по файлу AD-Connector-CreateTask.bat и Запустите от имени администратора (Run as Administrator).
  3. Откройте приложение Планировщик задач для Windows Server.
  4. Откройте папку Задачи Dropbox (Dropbox Tasks).
  5. Щелкните правой кнопкой мыши по задаче Соединитель AD (Dropbox AD Connector) и выберите Включить (Enable).
    • Обратите внимание: если эта задача не отображается, нажмите правой кнопкой мыши на Библиотеку планировщика заданий и выберите Обновить.
  6. Щелкните правой кнопкой мыши по задаче и выберите Запустить (Run).
  7. Найдите и просмотрите лог синхронизации Соединителя AD и убедитесь, что тест прошел успешно.
  8. Посмотрите страницу Участники в консоли администрирования и проверьте, отосланы ли приглашения участникам.
highlighter icon

Примечания о создании запланированных задач:

  • По умолчанию эта задача запускается раз в сутки в 02:00 (по местному времени).
  • Вы можете изменить настройки так, чтобы эта задача выполнялась в другом режиме, но мы рекомендуем запускать ее не чаще, чем раз в три часа.

Чтобы запланированные задачи не конфликтовали друг с другом, выберите параметр Не начинать новый процесс (Do not start a new instance) на вкладке Настройки (Settings):
Настройки свойств Dropbox (локальный компьютер)

Специализированные рекомендации по установке и устранению неполадок (необязательно)

Соединитель Active Directory от Dropbox и группы

Группы в Active Directory синхронизируются с Dropbox, но подгруппы в Dropbox не синхронизируются с Active Directory. Изменения Dropbox не синхронизируются обратно в Active Directory. Удаление подгруппы из Dropbox не приводит к удалению группы из Active Directory.

Чтобы удалить группу в Dropbox и Active Directory, вам нужно будет:

  • Удалить всех участников из синхронизируемой группы в Active Directory
  • Удалить синхронизируемую группу на этапе настроек

 

warning icon

Важно:

  • Если у вас несколько групп с одинаковыми названиями в Active Directory и Dropbox, группы не будут синхронизироваться. В журнал будет записана ошибка.
  • Нельзя вкладывать подгруппы в другие подгруппы в Dropbox. Подгруппы в Dropbox не могут иметь несколько уровней. Каждая подгруппа состоит из одного уровня и не может содержать другие подгруппы.

Что произойдет, если выбрать одну и ту же группу для синхронизации и пользователей и групп?

Группы с пользователями, которые не входят в синхронизируемую группу, не будут синхронизироваться с Dropbox.

Как группы синхронизируются с Dropbox, если для синхронизации аккаунтов пользователей используется другая группа Active Directory?

Синхронизироваться будут все пользователи в группе для синхронизации пользователей. Все группы, находящиеся группе для синхронизации пользователей, будут игнорироваться. Пользователи, помещенные в группу для синхронизации групп, игнорируются, если они также не входят в группу для синхронизации пользователей. Группы, помещенные в группу для синхронизации  пользователей будут игнорироваться, кроме тех случаев, когда они тоже входят в группу для синхронизации  групп.

Перенос аккаунтов и Соединитель Active Directory от Dropbox

Соединитель Active Directory (AD Connector) не поддерживает автоматический перенос данных из аккаунта в аккаунт другого участника. Однако удаленные аккаунты (как и все связанные с ними файлы) доступны в консоли администрирования: оттуда их можно перенести или удалить окончательно. 

Узнайте, как перенести удаленные файлы пользователя.

Соединитель Active Directory от Dropbox и удаленное стирание данных

При удалении и приостановлении пользователей при помощи Соединителя AD удаленное стирание со всех устройств будет проведено автоматически. Используйте консоль администрирования, чтобы удалить пользователя или устройство без задействования функции удаленного стирания их данных.

Что делать, если не работает синхронизация при помощи Соединителя Active Directory?

При каждом запуске Соединителя AD в конец лог-файла добавляется соответствующий код о завершении работы. В нем указывается причина ошибки и/или называется та часть процесса, в которой произошел сбой. В следующей таблице приведены возможные причины ошибок.

В лог Соединителя AD будет записан 0, если процесс был выполнен успешно.

Код

Причина ошибки

Как исправить ошибку

Не удалось создать защищенный канал SSL/TLS

Сервер или клиент не поддерживает TLS 1.2

-1

Версия Powershell не поддерживается

  • Обновите Powershell до версии 4, 5 или более новой

-10

Не удалось прочитать файл конфигурации

  • Если вы вручную редактировали файл конфигурации, могла возникнуть ошибка файла, которую не может прочитать наш скрипт. Повторно запустите скрипт конфигурации, чтобы переписать внесенные вручную изменения.
  • Проверьте разрешения конфигурационного файла — у скрипта должно быть разрешение запустить этот файл
  • Повторно запустите конфигурационный файл, чтобы сохранить новый файл

-11

Для запуска скрипта нужны права администратора

  • При выборе скрипта нажмите правой кнопкой мыши и выберите запустить с правами администратора

-12

Не удалось запустить модуль Active Directory

  • Удостоверьтесь в том, что AD работает на том же компьютере, что и Соединитель AD
  • Предоставьте права скрипту AD
  • Удостоверьтесь в том, что количество пользователей в синхронизируемой группе не превышает 5000, включая подгруппы (версия 2.0 не поддерживает большее количество пользователей)

-13

Не удалось запустить API Dropbox

  • Проверьте, работает ли сайт dropbox.com, на странице status.dropbox.com

-14

Не удалось получить информацию о рабочей группе от API Dropbox

  • Проверьте код ошибки
  • Проверьте, действителен ли маркер OAuth (перезапустите скрипт конфигурации, чтобы получить новый маркер OAuth)
  • Удостоверьтесь, что администратор прошел аутентификацию и что рабочая группа существует
  • Проверьте, работает ли сайт dropbox.com, на странице status.dropbox.com

-15

В настроенной группе Active Directory не найдены пользователи

  • Удостоверьтесь, что в выбранной группе находятся те пользователи, которых вы хотите синхронизировать (только пользователи, находящиеся в этой группе, будут синхронизироваться с аккаунтом вашей рабочей группы Dropbox)

-16

Не удалось получить список участников рабочей группы от API Dropbox

  • Повторите попытку — вы могли столкнуться с временной ошибкой сети
  • Проверьте, работает ли сайт dropbox.com, на странице status.dropbox.com

-17

Ошибка при синхронизации

  • Повторите попытку — вы могли столкнуться с временной ошибкой сети
  • Проверьте, не было ли вызвано прерывание другим процессом или ошибкой
  • Удостоверьтесь в том, что количество пользователей в синхронизируемой группе не превышает 5000, включая подгруппы (версия 2.0 не поддерживает большее количество пользователей)
  • Рекомендуем использовать с актуальной версией (2.0) синхронизируемые группы, число пользователей в которых не превышает 2000. Попробуйте ограничить размер группы до 2000 или меньше пользователей
  • Как обратиться в службу поддержки Dropbox

Каковы этапы работы Соединителя AD?

Шаг 1: Определяются управляемые пользователи.

Соединитель Active Directory обновляет только управляемых пользователей. Управляемые пользователи определяются, если соблюдены следующие критерии:

  1.  Соединитель AD сначала совершает добавление пользователей. Пользователи добавляются, если:
    • К настроенной группе Active Directory добавляется адрес эл. почты пользователя
    • Этот адрес электронной почты не найден в Dropbox.
  2. Пользователь существует в вашей рабочей группе Dropbox. Это означает, что в рабочей группе и настроенной группе Active Directory указаны одинаковые адреса электронной почты.
highlighter icon

Обратите внимание

  • Проверка осуществляется, только если поставлен флажок в разделе Управление существующими участниками (Manage existing users) в настройках Соединителя Active Directory.
  • Если не соблюдено одно из этих двух условий, пользователь не считается управляемым. Соединитель AD обновляет только управляемых пользователей. Для большинства администраторов Управление существующими участниками (Manage existing users) — это самый удобный вариант.

Шаг 2: Обновляется информация пользователей (только управляемых).

  • Имя пользователя
  • Фамилия пользователя
  • Адрес электронной почты пользователя

Соединитель AD проверяет, совпадают ли внешний идентификатор пользователя в Dropbox и AD для управляемых пользователей из шага 1.

Исключение: Соединитель AD не обновляет информацию у пользователей, которые имеют статус «Приглашен» в Dropbox. Соединитель AD попробует снова осуществить обновление при следующих запусках.

Шаг 3: Обновляется состояние пользователей (только управляемых).

Если отключить управляемых участников, то они не будут удалены из вашей рабочей группы Dropbox. При удалении участников из синхронизируемой группы Active Directory они также не будут удалены из рабочей группы. Вместо этого аккаунты этих пользователей в вашей рабочей группе Dropbox будут приостановлены.

Для управляемых участников, определенных на первом этапе, Соединитель AD обновляет состояние пользователя (активный, заблокированный, удаленный) в Dropbox, чтобы они совпадали с состояниями в AD.

Оказалась ли эта статья полезной?

Let us know how why it didn't help:

Thanks for letting us know!

Благодарим за отзыв!