自 2022 年 4 月 13 日起,Dropbox API 需要使用 TLS 1.2 或更高版本进行调用。届时,系统将不再支持使用 TLS 1.0 和 1.1 进行调用。
为避免服务中断,请尽快更新您的 TLS 配置。
Dropbox Active Directory 连接器
特定类型的管理员可以使用活动目录管理 Dropbox Business 团队成员。通过 Dropbox 活动目录连接器,对活动目录所做的任何更改都会自动同步到 Dropbox。
AD 连接器不会将在 Dropbox 管理员控制台中所做的更改应用到 AD。AD 连接器会覆盖管理员控制台中对托管用户的更改。
您可以联系我们的身份管理合作伙伴,获取有关如何为 Dropbox Business 帐户设置 AD 连接器的额外帮助。
本文内容:
第 1 步:查看 AD 连接器最佳实践。
必需:
- 您要从 Active Directory 同步的所有用户都必须是同个 AD 域中的有效用户
- PowerShell 4.0 或更新版本
- Windows Server 2008(或更新版本)
- 远程服务器管理工具
推荐:
- 创建一个包含您要调配的所有成员的“Dropbox”群组。您可以在 Dropbox 群组中添加用户和群组。
- 在服务器上安装 AD 连接器并分配只读访问权限(AD 连接器仅会同步源于 AD 的更改)。
- 从旧版本的 AD 连接器升级:如果从 2.0.1 版升级到 2.0.2 版,通常只要安装新版本就能正确更新。不过,如果要升级主版本(从 1.0 版升级到 2.0 版),则需要先卸载当前版本,然后才能更新到新版本。
- 针对当前版本的 AD 连接器,我们建议从 Active Directory 同步的用户不要超过 10,000 人。如果要使用 AD 连接器同步超过 10,000 名用户,请咨询 Dropbox 客户成功团队。
第 2 步:下载 AD 连接器的 Microsoft 安装程序 (MSI)。
第 3 步:安装 AD 连接器。
- 找到并运行 Dropbox-AD-Connector.msi 安装程序。
- 单击下一步以继续执行安装向导步骤。
- 选中复选框以接受条款,并单击下一步。
- 单击下一步以安装到默认路径。
- 单击安装,并在用户帐户控制 (UAC) 提示时选择是。
- 系统默认会选中开始使用指南。如果已经打开此指南,请取消选中。
- 选择完成以完成安装。
第 4 步:设置“配置 AD 连接器”工具。
完成 AD 连接器配置需执行 5 个步骤:
- 设置。
- Active Directory 用户同步。
- Active Directory 群组同步。
- 日志记录。
- 电子邮件通知。
要完成配置,请仔细执行下列每个步骤:
设置
- 在桌面上找到并打开配置 AD 连接器快捷方式。
- 单击获取 OAuth2 令牌以连接到您的 Dropbox Business 帐户。
- 如有需要,使用管理员凭据登录 Dropbox。
- 如果需要,批准 AD 连接器应用权限
- 复制令牌。
- 将复制的令牌粘贴到 OAuth 2 DfB 令牌字段中。
- 如果要运行设置测试,请选择模拟模式复选框。
- 注意:在模拟模式中,您的 Dropbox Business 团队不会有任何更改
Active Directory 用户同步
- 选择要与 Dropbox Business 团队同步的 Active Directory 群组。
- 最简单的方法是创建名为“Dropbox”的 Active Directory 群组
- 检查电子邮件属性是否已设为电子邮件地址。
- 选中管理现有用户以向通过 Dropbox Business 管理员控制台手动创建的用户同步更改。
Active Directory 群组同步
- 选择是否要将群组同步到 Dropbox Business 团队(群组同步为可选操作)。
- 要同步群组,请选择是否要使用您用于同步个人用户的那个群组。
- 如果您选择用其他群组来同步群组,请选择相关群组的名称。
日志记录
- 如果要为日志文件指定不同的路径,请单击更改。
- 注意:如果不提供其他文件路径,日志将保存到默认位置:C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log
电子邮件通知
- 如果您希望在出现同步错误时收到电子邮件通知,请单击设置。
- 注意:请使用端口 587 或端口 25(未加密);目前不支持端口 465
- 完成每个部分的填写后,使用测试连接来验证配置是否正确无误。
- 完成电子邮件选项配置后单击确定。
完成
- 单击保存以保存所有配置设置。
第 5 步:使用“运行 AD 连接器”进行试运行,验证其是否可以成功运行。
- 找到桌面上的运行 AD 连接器快捷方式。
- 右键单击运行 AD 连接器工具并选择以管理员身份运行。
- 查看结果中是否列出了预想的那些用户。
- 如果是,请重新打开“配置 AD 连接器”工具并取消选中模拟模式。
- 使用运行 AD 连接器工具将新成员同步到您的 Dropbox Business 团队。
第 6 步:找到计划任务并启用。
- 浏览到 Program Files \ Dropbox \ AD Connector \ Helpers。
- 右键单击 AD-Connector-CreateTask.bat 并选择以管理员身份运行。
- 打开适用于 Windows 服务器的任务计划程序应用。
- 打开 Dropbox 任务文件夹。
- 右键单击 Dropbox AD 连接器任务,并选择启用。
- 注意:如果找不到此任务,请右键单击任务调度程序库并选择刷新。
- 右键单击任务并选择运行。
- 确保测试运行成功:找到并查看 AD 连接器同步日志。
- 验证是否已经向团队成员发出邀请:查看 Dropbox Business 管理员控制台的“成员”页面。
创建计划任务时需注意的事项:
- 默认情况下,此任务设为在每天的凌晨 2:00(本地时间)运行一次
- 您可以提高此任务的运行频率,不过我们建议不要超过每 3 个小时一次
- 确保计划任务不会相互干扰:选择设置选项卡中的请勿启动新实例:
高级设置与问题排查(可选)
群组与 Dropbox Active Directory 连接器
Active Directory 中的群组会与 Dropbox 同步,但 Dropbox 群组不会与 AD 同步。Dropbox Business 中的更改不会同步回 Active Directory。从 Dropbox Business 删除某个群组时并不会从 Active Directory 中删除该群组。要同时在 Dropbox Business 和 Active Diretory 中删除某个群组,您需要:
- 从 Active Directory 中的同步群组移除所有成员
- 在配置步骤中移除同步群组
注意:
- 如果 Active Directory 和 Dropbox Business 之间有多个名称相同的群组,群组同步就会失败。系统也会记录一条错误。
- 您无法在 Dropbox 中的群组内嵌套其他群组。Dropbox Business 中不能设置多层级的群组。每个群组都是扁平结构,不能包含其他群组。
选择通过一个群组同步用户和群组时会发生什么?
如果群组中有用户不在同步群组内,该群组将无法同步到 Dropbox Business。
如果我使用不同的 Active Directory 群组来同步用户帐户,群组会如何同步到 Dropbox?
系统会同步用户同步群组中的所有用户,而忽略用户同步群组中的所有群组。置于群组同步群组中的用户会被忽略,除非他们也在用户群组中。置于用户同步群组中的群组会被忽略,除非它们也在群组同步群组中。
帐户转移与 Dropbox Active Directory 连接器
AD 连接器不支持自动将帐户转给其他团队成员。不过,已删除的帐户(以及任何相关的文件)都保存在管理员控制台。您可以转移或永久删除这些帐户。了解如何转移已删除的用户文件。
远程清除与 Dropbox Active Directory 连接器
在使用 AD 连接器暂停或删除用户时,系统会自动远程清除所有设备。如果要删除用户或设备但不希望远程清除所有内容,请使用管理员控制台。
如果 Active Directory 连接器同步失败,我该怎么办?
AD 连接器每次运行时,系统都会在日志文件的结尾添加一个退出代码。此代码可以说明故障原因,并且/或者确定流程的哪部分出现故障。下表举例说明了可能导致故障的原因。
- 注意:如果运行成功,AD 连接器会在日志中记录 0
代码 |
故障原因 |
纠正此错误的方法 |
-1 |
Powershell 版本不受支持 |
|
-10 |
无法读取配置文件 |
|
-11 |
必须使用管理员权限运行脚本 |
|
-12 |
无法初始化 Active Directory 模块 |
|
-13 |
无法初始化 Dropbox Business API |
|
-14 |
无法从 Dropbox Business API 提取团队信息 |
|
-15 |
没有在配置的 Active Directory 群组中找到任何用户 |
|
-16 |
无法从 Dropbox Business API 获取团队成员信息 |
|
-17 |
同步时出现故障 |
|
AD 连接器运行过程分为哪些阶段?
第 1 阶段:识别托管用户。
AD 连接器只会更新托管用户。如果符合以下条件,即认定用户为托管用户:
- AD 连接器先完成调配。如果 a) 将某用户的电子邮件地址添加到配置的 Active Directory 群组中,但 b) 在 Dropbox Business 中找不到此电子邮件地址,就会发生调配。
- 用户是 Dropbox Business 团队中现有的用户。“现有用户”表示团队与配置的 Active Directory 群组之间的电子邮件地址一致。
注意:
- 仅当在 AD 连接器配置中选中了管理现有用户时系统才会进行此检查。
- 如果用户不满足上述任一条件,系统就会将其视为非托管用户。AD 连接器不会更新非托管用户。对于大多数管理员而言,管理现有用户是最佳选项。
第 2 阶段:仅更新托管用户的用户信息。
- 名字
- 姓氏
- 电子邮件地址
针对在第 1 阶段中认定的托管用户,AD 连接器会确保用户的外部 ID 在 Dropbox Business 和 AD 之间匹配。
例外:如果用户在 Dropbox Business 中为“已邀请”状态,AD 连接器就不会更新他们的信息。AD 连接器会在后续运行中重新尝试更新。
第 3 阶段:仅更新托管用户的用户状态。
- 无论是禁止托管用户还是从 Active Directory 同步群组中删除用户,都不会将用户从您的 Dropbox Business 团队删除。这些用户会在您的 Dropbox Business 团队中处于暂停状态。
- 针对在第一步中识别的托管用户:AD 连接器会在 Dropbox Business 中更新用户状态(活跃、已停用或已删除)以匹配 AD 中的用户状态。
身份管理合作伙伴(可选)
要集成活动目录,您需要拥有我们身份管理合作伙伴的帐户,或使用通过 Dropbox Business API 实施的集成。
注意:只有特定类型的管理员拥有集成 Active Directory 的权限。
您可以联系我们的身份管理合作伙伴详细了解他们特别推出的 Dropbox 方案:
- Ping Identity
- OneLogin
- Okta
- Centrify
Dropbox 活动目录集成提供了帐户配置控制功能并支持单点登录。如有其他集成相关问题,请联系 Dropbox 销售团队,或者联系 Okta 或 OneLogin 的技术支持。
这篇文章对您有帮助吗?
谢谢您的意见!
