Dropbox 的 Active Directory 連接器

2022 年 4 月 13 日開始，Active Directory 連接器規定呼叫需使用 TLS 1.2 或以上版本。此日期過後，不再支援使用 TLS 1.0 和 1.1 的呼叫。

為避免服務中斷，請盡快更新您的 TLS 設定。

特定類型的管理員可以利用 Active Directory 管理 Dropbox 工作團隊的成員資格。有了 Dropbox Active Directory 連接器，Active Directory 上的任何變更都會自動同步到 Dropbox。

請注意：在 Dropbox 管理員主控台針對受管理使用者所做的變更，會被 AD (Active Directory) 連接器覆寫，但是在這裡針對非受管理使用者所做的變更和新增的內容，並不會套用至 AD。

您可以聯絡我們的身分管理合作夥伴，讓他們進一步協助您設定 Dropbox 團隊帳戶的 AD 連接器。

這篇文章的區段:

步驟 1：查閱 AD 連接器的最佳操作方式。

操作需求：

所有您想由 Active Directory 同步至 Dropbox 的使用者，都必須是位於單一 AD 網域的有效使用者
PowerShell 4.0 以上的版本
Windows 伺服器 2008 (或更高版本)
遠端伺服器管理工具

建議事項：

建立一個叫「Dropbox」的群組，並把您想要佈建的所有成員都加進來。您可以把使用者和群組都加至此 Dropbox 群組。
以唯讀模式將 AD 連接器安裝至伺服器 (AD 連接器僅會同步 AD 方的變更)。
由舊版 AD 連接器升級：若您要將 AD 連接器由 2.0.1 版升級至 2.0.2 版，通常只需安裝新版，即可正確更新。不過，若您是從主版本升級至另一主版本 (由 1.0 版升級至 2.0 版)，必須先解除安裝目前的版本，才能更新成新版本。
使用目前的 AD 連接器時，我們建議您不要一次由 Active Directory 同步超過 10,000 名使用者。若您想要藉由 AD 連接器同步 10,000 名以上的使用者，請與您的 Dropbox 客戶關係團隊聯絡。

步驟 2：下載 AD 連接器 Microsoft 安裝程式 (MSI)。

下載安裝程式

步驟 3：安裝 AD 連接器。

找到並執行 Dropbox-AD-Connector.msi 安裝程式。
按一下 [Next]，繼續安裝精靈。
勾選方格接受條款，再按一下 [Next]。
按一下 [Next]，在預設路徑進行安裝。
按一下 [Install]，若出現「User Account Control (UAC)」視窗，請選擇 [Yes]。
新手指南 (Get Started) 已預設勾選，如果您已開啟此份指南，請取消勾選。
選擇 [Finish] 結束安裝。

步驟 4：設定配置 AD 連接器工具。

完成配置 AD 連接器有五個步驟：

設定。
同步 Active Directory 中的使用者。
同步 Active Directory 中的群組。
紀錄。
電子郵件通知。

請仔細遵照每一步驟進行，以完成設定：

設定

在您的桌面上找到並打開 Configure AD Connector 捷徑。
按一下 [Get OAuth2 Token]，連結至您的 Dropbox 帳戶。
- 若有需要，請以您的管理員帳號密碼登入 Dropbox
- 若需要的話，請准許 AD 連接器存取應用程式
複製憑證。
把複製的憑證貼上 [OAuth 2 DfB Token] 欄位。
若您想測試設定，請勾選 [Simulation Mode]。
- 請注意：執行模擬模式時，您的 Dropbox 工作團隊不會遭到任何變更。

同步 Active Directory 的使用者

選擇您想要與 Dropbox 工作團隊同步的 Active Directory 群組。
- 最簡單的就是建立一個叫做「Dropbox」的 Active Directory 群組
確認您已將 [Email Attribute] 設為 [Email Address]。
選擇 [Manage existing users] (管理現有使用者)，將變更內容同步至透過管理員主控台手動建立的使用者。

同步 Active Directory 的群組

選擇是否要將群組同步至您的 Dropbox 工作團隊 (非必要)。
若要同步群組，請選擇您是否要續用您用來同步使用者的群組。
若您選擇將群組同步至不同的群組，請選擇群組名稱。

紀錄

如果您想把紀錄檔儲存在不同的路徑，請點選 [Change]。
- 請注意：若您沒有提供不同的檔案路徑，紀錄檔便會儲存至預設位置：C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

電子郵件通知

若您希望收到所有同步錯誤的電子郵件通知，請點選 [Settings]。
- 請注意：請使用連接埠 587 或 25 (未加密)；目前不支援連接埠 465。
完成所有區塊後，請使用 [Test Connection]，確認配置無誤。
完成電子郵件設定後，請點選 [OK]。

完成

按一下 [Save] 以保留所有設定。

步驟 5：執行 AD 連接器測試，確認運作正常。

在桌面找到 [Run AD Connector] 捷徑。
在 [Run AD Connector] 工具上按右鍵，選擇 [Run as Administrator]。
查看結果，確保使用者都如預期般列入清單。
如果是的話，重新開啟 Config AD Connector 工具，並取消勾選 [Simulation Mode]。
使用「Run AD Connector」(執行 AD 連接器) 工具，將新成員同步至您的 Dropbox 工作團隊。

步驟 6：找到排定工作並執行。

前往 Program Files \ Dropbox \ AD Connector \ Helpers。
在 [AD-Connector-CreateTask.bat] 上按右鍵，選擇 [Run as Administrator]。
開啟 Windows 伺服器專用的工作排程器 (Task Scheduler) 應用程式。
開啟 [Dropbox Tasks] 資料夾。
在 Dropbox AD 連接器工作上按右鍵，並選擇 [Enable]。
- 請注意：若您找不到此項工作，請在工作排程器資料庫上按右鍵，並點選 [Refresh]。
在工作上按右鍵，並選擇 [Run]。
確認測試執行成功：請查看 AD 連接器同步紀錄。
確認邀請已寄給團隊成員：查看管理員主控台中的「成員」頁面。

建立排程工作時的注意事項：

預設上，這項作業會在當地時間每天上午 2 點執行一次。
您可以增加此作業的頻率，但我們建議每次間隔不要少於三小時。
為確保各個排程作業不相互干擾，請在「Settings」(設定) 索引標籤中選擇 [Do not start a new instance] (不啟動新執行個體)：

進階設定與疑難排解 (選擇性)

群組與 Dropbox Active Directory 連接器

Active Directory 中的群組會與 Dropbox 同步，但 Dropbox 上的群組不會同步到 AD。Dropbox 中的變更內容不會同步回 Active Directory。從 Dropbox 刪除群組，並不會同時在 Active Directory 刪除該群組。如要同時刪除 Dropbox 和 Active Directory 裡的群組，您必須：

移除 Active Directory 同步群組中的所有成員
從配置步驟中移除該同步群組

提醒您：

如果您在 Active Directory 和 Dropbox 中有多個名稱相同的群組，群組會同步失敗，且系統會產生一筆錯誤紀錄。
您無法在 Dropbox 上將群組置於其他群組中。Dropbox 中的群組不能有多層結構，每個群組皆是單層結構，不能容納其他群組。

若選擇將使用者和群組同步至單一群組會怎樣？

若群組中有使用者不在同步群組中，便無法同步至 Dropbox。

如果我以另一個 Active Directory 群組與使用者帳戶同步，原本的群組會以什麼方式同步到 Dropbox？

系統會同步使用者同步群組中的所有使用者，並忽略使用者同步群組中的群組。群組同步群組中的使用者，除非同時也在使用者同步群組中，否則會被系統忽略。使用者同步群組中的群組，除非同時也在群組同步群組中，否則會被系統忽略。

帳戶移轉與 Dropbox Active Directory 連接器

AD 連接器不支援將帳戶自動移轉給另一名團隊成員。不過，已刪除的帳戶 (及任何相關檔案) 都會保存在管理員主控台，您可以從主控台移轉或永久刪除帳戶內容。

瞭解如何移轉已刪除使用者的檔案。

遠端清除與 Dropbox Active Directory 連接器

透過 AD 連接器暫停使用者權限或刪除使用者時，所有裝置都會自動被遠端移除。若您要移除使用者或裝置，但不要遠端移除所有內容，請改用管理員主控台。

如果 Active Directory 連接器同步失敗，我該怎麼做？

每次執行 AD 連接器時，紀錄檔尾端都會多出一個結束代碼，該代碼可以說明發生錯誤的原因或是指明出錯的環節。下列表格列舉了發生錯誤的可能原因。

備註：若執行成功，AD 連接器會記錄下「0」

程式碼	失敗原因	修正錯誤的方法
無法建立 SSL/TLS 安全通道	伺服器或用戶端不支援 TLS 1.2	更新至最新版 AD 連接器 (請參閱上述步驟 2)，然後確認伺服器有支援 TLS 1.2
-1	Powershell 版本未受支援	升級至 Powershell 4、5 或更新的版本
-10	無法讀取配置檔	若您手動編輯了配置檔，可能其中出現我們的程式碼無法判讀的檔案錯誤。請重新啟動配置程式碼以複寫手動編輯的內容檢查配置檔的權限設定。執行程式碼應擁有執行此檔案的權限重新執行配置檔以儲存新檔案
-11	必須有管理員權限才能執行程式碼	選擇程式碼後，按右鍵並選擇 [run with admin privileges]
-12	無法初始化 Active Directory 模組	確認已設定 AD，並與 AD 連接器位於同一裝置確認 AD 擁有程式碼權限確認同步群組中的成員少於 5000 名，包括子群組 (2.0 版不支援 5000 名以上的使用者)
-13	無法初始化 Dropbox API	確認可在 status.dropbox.com 上存取 dropbox.com
-14	無法從 Dropbox API 擷取團隊資料	查看錯誤代碼確認 OAuth 憑證有效 (重新執行配置程式碼以取得新的 OAuth 憑證) 確認管理員驗證成功且團隊仍然存在確認可在 status.dropbox.com 上存取 dropbox.com
-15	在已配置的 Active Directory 群組中找不到使用者	確認已選取的群組含有您想要同步的使用者 (系統只會將位於此群組中的使用者同步至您的 Dropbox Business 團隊)
-16	無法從 Dropbox API 取得團隊成員	再試一次。可能是網路臨時出了問題確認可在 status.dropbox.com 上存取 dropbox.com
-17	同步時發生錯誤	再試一次。可能是網路臨時出了問題查看裝置是否受其他工作或錯誤中斷確認同步群組中的成員少於 5000 名，包括子群組 (2.0 版不支援 5000 名以上的使用者) 使用目前的 2.0 版本時，我們建議您將同步群組的大小限制在 2000 名以下名使用者聯絡 Dropbox 支援服務

AD 連接器執行程序有哪些階段？

第 1 階段：辨識受管理的使用者。

AD 連接器只會更新受管理的使用者。在以下條件符合時會辨識受管理的使用者：

AD 連接器會先完成佈建工作。當 a) 使用者的電子郵件地址加入已配置的 Active Directory 群組中，且 b) 該電子郵件地址不存在於 Dropbox 中時，便會進行佈建。
使用者是您 Dropbox 工作團隊的現有使用者。「現有使用者」表示該電子郵件地址同時出現在團隊成員清單和已配置的 Active Directory 群組中。

備註：

此項只有在 AD 連接器配置中勾選了管理現有使用者的方塊時才會執行。
如果上述兩個條件有一項不符合，該使用者就會認定為未受管理，不會經由 AD 連接器更新。對大多數的管理員來說，管理現有使用者是最佳的執行選項。

第 2 階段：僅更新受管理使用者的使用者資訊。

使用者名字
使用者姓氏
使用者電子郵件地址

AD 連接器能確保 Dropbox 和第 1 階段中受管理使用者 AD 的外部 ID 相符。

例外：AD 連接器不會更新 Dropbox 中處於「已邀請」(但未加入) 狀態的使用者資訊。AD 連接器會在後續的執行過程中，重新嘗試更新。

第 3 階段：僅更新受管理使用者的使用者狀態。

停用受管理的使用者並不會將對方從您的 Dropbox 工作團隊中移除，也不會自 AD 同步群組中移除使用者。這些使用者只是在 Dropbox 工作團隊中被暫停權限而已。
針對在第一步被認定為受管理的使用者：AD 連接器會更新 Dropbox 中的使用者狀態 (有效、已停用、已刪除)，以符合 AD 中的使用者狀態。

這篇文章有多大幫助？