Dropbox Active Directory 连接器

自 2022 年 4 月 13 日起,Dropbox API 需要使用 TLS 1.2 或更高版本进行调用。届时,系统将不再支持使用 TLS 1.0 和 1.1 进行调用。

为避免服务中断,请尽快更新您的 TLS 配置。

特定类型的管理员可以使用活动目录管理 Dropbox Business 团队成员。通过 Dropbox 活动目录连接器,对活动目录所做的任何更改都会自动同步到 Dropbox。

AD 连接器不会将在 Dropbox 管理员控制台中所做的更改应用到 AD。AD 连接器会覆盖管理员控制台中对托管用户的更改。

您可以联系我们的身份管理合作伙伴,获取有关如何为 Dropbox Business 帐户设置 AD 连接器的额外帮助。

本文内容:

第 1 步:查看 AD 连接器最佳实践。

必需:

  • 您要从 Active Directory 同步的所有用户都必须是同个 AD 域中的有效用户
  • PowerShell 4.0 或更新版本
  • Windows Server 2008(或更新版本)
  • 远程服务器管理工具

推荐:

  • 创建一个包含您要调配的所有成员的“Dropbox”群组。您可以在 Dropbox 群组中添加用户和群组。
  • 在服务器上安装 AD 连接器并分配只读访问权限(AD 连接器仅会同步源于 AD 的更改)。
  • 从旧版本的 AD 连接器升级:如果从 2.0.1 版升级到 2.0.2 版,通常只要安装新版本就能正确更新。不过,如果要升级主版本(从 1.0 版升级到 2.0 版),则需要先卸载当前版本,然后才能更新到新版本。
  • 针对当前版本的 AD 连接器,我们建议从 Active Directory 同步的用户不要超过 10,000 人。如果要使用 AD 连接器同步超过 10,000 名用户,请咨询 Dropbox 客户成功团队。

返回菜单

第 2 步:下载 AD 连接器的 Microsoft 安装程序 (MSI)。

返回菜单

第 3 步:安装 AD 连接器。

  1. 找到并运行 Dropbox-AD-Connector.msi 安装程序。
  2. 单击下一步以继续执行安装向导步骤。
  3. 选中复选框以接受条款,并单击下一步
  4. 单击下一步以安装到默认路径。
  5. 单击安装,并在用户帐户控制 (UAC) 提示时选择
  6. 系统默认会选中开始使用指南。如果已经打开此指南,请取消选中。
  7. 选择完成以完成安装。

返回菜单

第 4 步:设置“配置 AD 连接器”工具。

完成 AD 连接器配置需执行 5 个步骤:

  1. 设置。
  2. Active Directory 用户同步。
  3. Active Directory 群组同步。
  4. 日志记录。
  5. 电子邮件通知。

要完成配置,请仔细执行下列每个步骤:

设置

  1. 在桌面上找到并打开配置 AD 连接器快捷方式。
  2. 单击获取 OAuth2 令牌以连接到您的 Dropbox Business 帐户。
    • 如有需要,使用管理员凭据登录 Dropbox。
    • 如果需要,批准 AD 连接器应用权限
  3. 复制令牌。
  4. 将复制的令牌粘贴到 OAuth 2 DfB 令牌字段中。
  5. 如果要运行设置测试,请选择模拟模式复选框。
    • 注意:在模拟模式中,您的 Dropbox Business 团队不会有任何更改
AD 连接器配置

Active Directory 用户同步

  1. 选择要与 Dropbox Business 团队同步的 Active Directory 群组。
    • 最简单的方法是创建名为“Dropbox”的 Active Directory 群组
  2. 检查电子邮件属性是否已设为电子邮件地址
  3. 选中管理现有用户以向通过 Dropbox Business 管理员控制台手动创建的用户同步更改。

Active Directory 群组同步

  1. 选择是否要将群组同步到 Dropbox Business 团队(群组同步为可选操作)。
  2. 要同步群组,请选择是否要使用您用于同步个人用户的那个群组。
  3. 如果您选择用其他群组来同步群组,请选择相关群组的名称。

日志记录

  1. 如果要为日志文件指定不同的路径,请单击更改
    • 注意:如果不提供其他文件路径,日志将保存到默认位置:C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

电子邮件通知

  1. 如果您希望在出现同步错误时收到电子邮件通知,请单击设置
    • 注意:请使用端口 587 或端口 25(未加密);目前不支持端口 465
  2. 完成每个部分的填写后,使用测试连接来验证配置是否正确无误。
  3. 完成电子邮件选项配置后单击确定
电子邮件通知设置

完成

  1. 单击保存以保存所有配置设置。

返回菜单

第 5 步:使用“运行 AD 连接器”进行试运行,验证其是否可以成功运行。

  1. 找到桌面上的运行 AD 连接器快捷方式。
  2. 右键单击运行 AD 连接器工具并选择以管理员身份运行
  3. 查看结果中是否列出了预想的那些用户。
  4. 如果是,请重新打开“配置 AD 连接器”工具并取消选中模拟模式
  5. 使用运行 AD 连接器工具将新成员同步到您的 Dropbox Business 团队。

返回菜单

第 6 步:找到计划任务并启用。

  1. 浏览到 Program Files \ Dropbox \ AD Connector \ Helpers。
  2. 右键单击 AD-Connector-CreateTask.bat 并选择以管理员身份运行
  3. 打开适用于 Windows 服务器的任务计划程序应用。
  4. 打开 Dropbox 任务文件夹。
  5. 右键单击 Dropbox AD 连接器任务,并选择启用
    • 注意:如果找不到此任务,请右键单击任务调度程序库并选择刷新
  6. 右键单击任务并选择运行
  7. 确保测试运行成功:找到并查看 AD 连接器同步日志。
  8. 验证是否已经向团队成员发出邀请:查看 Dropbox Business 管理员控制台的“成员”页面

创建计划任务时需注意的事项

  • 默认情况下,此任务设为在每天的凌晨 2:00(本地时间)运行一次
  • 您可以提高此任务的运行频率,不过我们建议不要超过每 3 个小时一次
  • 确保计划任务不会相互干扰:选择设置选项卡中的请勿启动新实例

返回菜单

计划任务设置

高级设置与问题排查(可选)

群组与 Dropbox Active Directory 连接器

Active Directory 中的群组会与 Dropbox 同步,但 Dropbox 群组不会与 AD 同步。Dropbox Business 中的更改不会同步回 Active Directory。从 Dropbox Business 删除某个群组时并不会从 Active Directory 中删除该群组。要同时在 Dropbox Business 和 Active Diretory 中删除某个群组,您需要:

  • 从 Active Directory 中的同步群组移除所有成员
  • 在配置步骤中移除同步群组

注意:

  • 如果 Active Directory 和 Dropbox Business 之间有多个名称相同的群组,群组同步就会失败。系统也会记录一条错误。
  • 您无法在 Dropbox 中的群组内嵌套其他群组。Dropbox Business 中不能设置多层级的群组。每个群组都是扁平结构,不能包含其他群组。

选择通过一个群组同步用户和群组时会发生什么?

如果群组中有用户不在同步群组内,该群组将无法同步到 Dropbox Business。

如果我使用不同的 Active Directory 群组来同步用户帐户,群组会如何同步到 Dropbox?

系统会同步用户同步群组中的所有用户,而忽略用户同步群组中的所有群组。置于群组同步群组中的用户会被忽略,除非他们也在用户群组中。置于用户同步群组中的群组会被忽略,除非它们也在群组同步群组中。

帐户转移与 Dropbox Active Directory 连接器

AD 连接器不支持自动将帐户转给其他团队成员。不过,已删除的帐户(以及任何相关的文件)都保存在管理员控制台。您可以转移或永久删除这些帐户。了解如何转移已删除的用户文件

远程清除与 Dropbox Active Directory 连接器

在使用 AD 连接器暂停或删除用户时,系统会自动远程清除所有设备。如果要删除用户或设备但不希望远程清除所有内容,请使用管理员控制台。

如果 Active Directory 连接器同步失败,我该怎么办?

AD 连接器每次运行时,系统都会在日志文件的结尾添加一个退出代码。此代码可以说明故障原因,并且/或者确定流程的哪部分出现故障。下表举例说明了可能导致故障的原因。

  • 注意:如果运行成功,AD 连接器会在日志中记录 0

代码

故障原因

纠正此错误的方法

-1

Powershell 版本不受支持

  • 升级到 Powershell 版本 4、5 或更高版本

-10

无法读取配置文件

  • 如果您手动编辑过配置文件,可能会造成我们的脚本无法读取的文件错误。因此,请重新运行配置脚本以覆盖手动编辑
  • 检查配置文件权限 — 运行脚本应具备运行此文件的权限
  • 重新运行配置文件以保存新文件

-11

必须使用管理员权限运行脚本

  • 在选择脚本时,右键单击并选择使用管理员权限运行

-12

无法初始化 Active Directory 模块

  • 确保 AD 工作正常,且与 AD 连接器在同一台机器上
  • 确保向 AD 提供脚本权限
  • 确保同步群组中的成员不超过 5000 个,包括子群组(2.0 版不支持更多用户)

-13

无法初始化 Dropbox Business API

-14

无法从 Dropbox Business API 提取团队信息

  • 检查错误代码
  • 确认 OAuth 令牌是否有效(重新运行配置脚本以获取新的 OAuth 令牌)
  • 确保管理员已成功验证身份,且团队仍然存在
  • 前往 status.dropbox.com 确认 dropbox.com 是否可以正常访问

-15

没有在配置的 Active Directory 群组中找到任何用户

  • 确认所选群组包含您要同步的用户(只有此群组中的用户才会同步到您的 Dropbox Business 团队)

-16

无法从 Dropbox Business API 获取团队成员信息

  • 再试一次 — 您可能遇到了临时网络问题
  • 前往 status.dropbox.com 确认 dropbox.com 是否可以正常访问

-17

同步时出现故障

  • 再试一次 — 您可能遇到了临时网络问题
  • 检查机器是否受到了其他进程或错误的干扰
  • 确保同步群组中的成员不超过 5000 个,包括子群组(2.0 版不支持更多用户)
  • 在使用当前版本(2.0 版)时,我们建议将同步群组规模上限设为 2000 用户(尝试将群组用户规模限制为不超过 2000 人)
  • 联系 Dropbox 支持

AD 连接器运行过程分为哪些阶段?

第 1 阶段:识别托管用户。

AD 连接器只会更新托管用户。如果符合以下条件,即认定用户为托管用户:

  1. AD 连接器先完成调配。如果 a) 将某用户的电子邮件地址添加到配置的 Active Directory 群组中,但 b) 在 Dropbox Business 中找不到此电子邮件地址,就会发生调配。
  2. 用户是 Dropbox Business 团队中现有的用户。“现有用户”表示团队与配置的 Active Directory 群组之间的电子邮件地址一致。

注意: 

  • 仅当在 AD 连接器配置中选中了管理现有用户时系统才会进行此检查。
  • 如果用户不满足上述任一条件,系统就会将其视为非托管用户。AD 连接器不会更新非托管用户。对于大多数管理员而言,管理现有用户是最佳选项。

第 2 阶段:仅更新托管用户的用户信息。

  • 名字
  • 姓氏
  • 电子邮件地址

针对在第 1 阶段中认定的托管用户,AD 连接器会确保用户的外部 ID 在 Dropbox Business 和 AD 之间匹配。

例外:如果用户在 Dropbox Business 中为“已邀请”状态,AD 连接器就不会更新他们的信息。AD 连接器会在后续运行中重新尝试更新。

第 3 阶段:仅更新托管用户的用户状态。

  • 无论是禁止托管用户还是从 Active Directory 同步群组中删除用户,都不会将用户从您的 Dropbox Business 团队删除。这些用户会在您的 Dropbox Business 团队中处于暂停状态。
  • 针对在第一步中识别的托管用户:AD 连接器会在 Dropbox Business 中更新用户状态(活跃、已停用或已删除)以匹配 AD 中的用户状态。

返回菜单

身份管理合作伙伴(可选)

要集成活动目录,您需要拥有我们身份管理合作伙伴的帐户,使用通过 Dropbox Business API 实施的集成。

注意:只有特定类型的管理员拥有集成 Active Directory 的权限。

您可以联系我们的身份管理合作伙伴详细了解他们特别推出的 Dropbox 方案:

  • Ping Identity
  • OneLogin
  • Okta
  • Centrify

Dropbox 活动目录集成提供了帐户配置控制功能并支持单点登录。如有其他集成相关问题,请联系 Dropbox 销售团队,或者联系 Okta 或 OneLogin 的技术支持。

返回菜单

这篇文章对您有帮助吗?

很抱歉听到这个消息。
请告诉我们有什么可以改进的地方:

谢谢您的意见!
请告诉我们这篇文章对您的帮助有多大:

谢谢您的意见!