Dropbox Active Directory 连接器

步骤 1：查看 AD 连接器最佳实践

必填

• 您要从 Active Directory 同步的所有用户都必须是同个 AD 域中的有效用户
• PowerShell 4.0 或更新版本
• Windows Server 2008（或更新版本）
• 远程服务器管理工具

推荐

• 创建一个包含您要调配的所有成员的“Dropbox”群组。您可以在 Dropbox 群组中添加用户和群组。
• 在服务器上安装 AD 连接器并分配只读访问权限（AD 连接器仅会同步源于 AD 的更改）。
• 从旧版本的 AD 连接器升级：如果从 2.0.1 版升级到 2.0.2 版，通常只要安装新版本就能正确更新。不过，如果要升级主版本（从 1.0 版升级到 2.0 版），则需要先卸载当前版本，然后才能更新到新版本。
• 针对当前版本的 AD 连接器，我们建议从 Active Directory 同步的用户不要超过 10,000 人。如果要使用 AD 连接器同步超过 10,000 名用户，请咨询 Dropbox 客户成功团队。

步骤 2：下载 AD 连接器的 Microsoft 安装程序 (MSI)

步骤 3：安装 AD 连接器

1. 找到并运行 Dropbox-AD-Connector.msi 安装程序。
2. 单击下一步以继续执行安装向导步骤。
3. 选中复选框以接受条款，并单击下一步。
4. 单击下一步以安装到默认路径。
5. 单击安装，并在用户帐户控制 (UAC) 提示时选择是。
6. 系统默认会选中开始使用指南。如果已经打开此指南，请取消选中。
7. 选择完成以完成安装。

步骤 4：完成 AD 连接器配置

设置

1. 在桌面上找到并打开配置 AD 连接器快捷方式。
2. 单击获取 OAuth2 令牌以连接到您的 Dropbox Business 帐户。
   • 如果需要，请使用您的管理员凭据登录 Dropbox
   • 如果需要，批准 AD 连接器应用权限
3. 复制令牌。
4. 将复制的令牌粘贴到 OAuth 2 DfB 令牌字段中。
5. 如果要运行设置测试，请选择模拟模式复选框。
   • 注意：在模拟模式下，您的 Dropbox 团队不会发生任何更改。

Active Directory 用户同步

1. 选择要与 Dropbox 团队同步的活动目录群组。
   • 最简单的方法是创建名为“Dropbox”的 Active Directory 群组
2. 检查电子邮件属性是否已设为电子邮件地址。
3. 选择管理现有用户以向通过管理员控制台手动创建的用户同步更改。

Active Directory 群组同步

1. 选择是否要将群组同步到 Dropbox 团队（群组同步为可选操作）。
2. 要同步群组，请选择是否要使用您用于同步个人用户的那个群组。
3. 如果您选择用其他群组来同步群组，请选择相关群组的名称。

日志记录

1. 如果要为日志文件指定不同的路径，请单击更改。
   • 注意：如果不提供其他文件路径，日志将保存到默认位置：C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

电子邮件通知

1. 如果您希望在出现同步错误时收到电子邮件通知，请单击设置。
   • 注意：请使用端口 587 或端口 25（未加密）；目前不支持端口 465。
2. 完成每个部分的填写后，使用测试连接来验证配置是否正确无误。
3. 完成电子邮件选项配置后单击确定。

完成

1. 单击保存以保存所有配置设置。

步骤 5：使用“Run AD Connector“执行测试运行，验证其是否成功运行

1. 找到桌面上的运行 AD 连接器快捷方式。
2. 右键单击运行 AD 连接器工具并选择以管理员身份运行。
3. 查看结果中是否列出了预想的那些用户。
4. 如果是，请重新打开“配置 AD 连接器”工具并取消选中模拟模式。
5. 使用运行 AD 连接器工具将新成员同步到您的 Dropbox 团队。

步骤6：找到计划任务并启用

1. 浏览到 Program Files \ Dropbox \ AD Connector \ Helpers。
2. 右键单击 AD-Connector-CreateTask.bat 并选择以管理员身份运行。
3. 打开适用于 Windows 服务器的任务计划程序应用。
4. 打开 Dropbox 任务文件夹。
5. 右键单击 Dropbox AD 连接器任务，并选择启用。
   • 注意：如果找不到此任务，请右键单击任务调度程序库并选择刷新。
6. 右键单击任务并选择运行。
7. 找到并查看 AD 连接器同步日志，确认试运行是否成功。
8. 查看管理员控制台的成员页面，确认是否已向团队成员发出邀请。

高级设置与问题排查（可选）

群组与 Dropbox Active Directory 连接器

Active Directory 中的群组与 Dropbox 同步，但Dropbox 群组不会与 AD 同步。 Dropbox 中的更改不会同步回 Active Directory。 从 Dropbox 删除群组时并不会从 Active Directory 中删除该群组。

要删除 Dropbox 和 Active Directory 中的群组，您需要：

• 从 Active Directory 中的同步组中移除所有成员
• 在配置步骤中移除同步群组

选择通过一个群组同步用户和群组时会发生什么？

如果群组中有用户不在同步群组内，则该群组将无法同步到 Dropbox。

如果我使用不同的 Active Directory 群组来同步用户帐户，群组会如何同步到 Dropbox？

系统会同步用户同步群组中的所有用户，但会忽略用户同步群组中的所有群组。位于群组同步群组中，但不在用户同步群组中的用户会被忽略。位于用户同步群组中，但不在群组同步群组中的群组会被忽略。

帐户转移与 Dropbox Active Directory 连接器

AD 连接器不支持自动将帐户转移给其他团队成员。不过，已删除的帐户（及其所有的相关文件）都会保存在管理员控制台中。您可以转移或永久删除这些帐户。

了解如何转移已删除的用户文件。

远程清除与 Dropbox Active Directory 连接器

在使用 AD 连接器暂停或删除用户时，系统会自动远程清除所有设备。如果要删除用户或设备但不希望远程清除所有内容，请使用管理员控制台。

如果 Active Directory 连接器同步失败，我该怎么办？

AD 连接器每次运行时，系统都会在日志文件的结尾添加一个退出代码。此代码可以说明故障原因，并且/或者确定流程的哪部分出现故障。下表举例说明了可能导致故障的原因。

如果运行成功，AD 连接器会在日志中记录 0 。

AD 连接器运行过程分为哪些阶段？

第 1 阶段：识别托管用户

AD 连接器只会更新托管用户。如果符合以下条件，即认定用户为托管用户：

1. AD 连接器先完成配置。在下列情况下会出现调配：
   • 在配置的 Active Directory 群组中添加了用户电子邮件地址
   • 在 Dropbox 中找不到此电子邮件地址
2. 用户是 Dropbox 团队中现有的用户。“现有用户”表示团队与配置的活动目录群组之间的电子邮件地址一致。

第 2 阶段：仅更新托管用户的用户信息

• 名字
• 姓氏
• 电子邮件地址

针对在第 1 阶段中确定的托管用户，AD 连接器会确保用户的外部 ID 在 Dropbox 和 AD 之间匹配。

例外：如果用户在 Dropbox 中为“已邀请”状态，AD 连接器就不会更新他们的信息。但 AD 连接器会在后续运行中重新尝试更新。

第 3 阶段：仅更新托管用户的用户状态

无论是禁用托管用户，还是从活动目录同步群组中删除用户，都不会将用户从您的 Dropbox 团队中删除。这些用户将会在您的 Dropbox 团队中处于暂停状态。

针对在第一步中确定的托管用户：AD 连接器会在 Dropbox 中更新用户状态（活跃、已禁用或已删除）以匹配 AD 中的用户状态。