Dropbox 的 Active Directory 連接器

特定類型的管理員可以利用 Active Directory 管理 Dropbox 工作團隊的成員資格。有了 Dropbox Active Directory 連接器（AD），Active Directory 上的任何變更都會自動同步到 Dropbox。

您可以聯絡我們的身分管理合作夥伴，讓他們進一步協助您設定 Dropbox 工作團隊的 AD 連接器。

步驟 1：查閱 AD 連接器的最佳操作方式

必要

• 所有您想由 Active Directory 同步至 Dropbox 的使用者，都必須是位於單一 AD 網域的有效使用者
• PowerShell 4.0 以上的版本
• Windows 伺服器 2008 (或更高版本)
• 遠端伺服器管理工具

建議

• 建立一個叫「Dropbox」的群組，並把您想要佈建的所有成員都加進來。您可以把使用者和群組都加至此 Dropbox 群組。
• 以唯讀模式將 AD 連接器安裝至伺服器 (AD 連接器僅會同步 AD 方的變更)。
• 由舊版 AD 連接器升級：若您要將 AD 連接器由 2.0.1 版升級至 2.0.2 版，通常只需安裝新版，即可正確更新。不過，若您是從主版本升級至另一主版本 (由 1.0 版升級至 2.0 版)，必須先解除安裝目前的版本，才能更新成新版本。
• 使用目前的 AD 連接器時，我們建議您不要一次由 Active Directory 同步超過 10,000 名使用者。若您想要藉由 AD 連接器同步 10,000 名以上的使用者，請與您的 Dropbox 客戶關係團隊聯絡。

步驟 2：下載 AD 連接器 Microsoft 安裝程式 (MSI)

步驟 3：安裝 AD 連接器。

1. 找到並執行 Dropbox-AD-Connector.msi 安裝程式。
2. 按一下 [Next]，繼續安裝精靈。
3. 勾選方格接受條款，再按一下 [Next]。
4. 按一下 [Next]，在預設路徑進行安裝。
5. 按一下 [Install]，若出現「User Account Control (UAC)」視窗，請選擇 [Yes]。
6. 新手指南 (Get Started) 已預設勾選，如果您已開啟此份指南，請取消勾選。
7. 選擇 [Finish] 結束安裝。

步驟 4：完成 AD 連接器設定

設定

1. 在您的桌面上找到並打開 Configure AD Connector 捷徑。
2. 按一下 [Get OAuth2 Token]，連結至您的 Dropbox 帳戶。
   • 如有需要，請以管理員帳號密碼登入 Dropbox
   • 若需要的話，請准許 AD 連接器存取應用程式
3. 複製憑證。
4. 把複製的憑證貼上 [OAuth 2 DfB Token] 欄位。
5. 若您想測試設定，請勾選 [Simulation Mode]。
   •  請注意：執行模擬模式時，您的 Dropbox 工作團隊不會遭到任何變更。

同步 Active Directory 的使用者

1. 選擇您想要與 Dropbox 工作團隊同步的 Active Directory 群組。
   • 最簡單的就是建立一個叫做「Dropbox」的 Active Directory 群組
2. 確認您已將 [Email Attribute] 設為 [Email Address]。
3. 選擇 [Manage existing users] (管理現有使用者)，將變更內容同步至透過管理員主控台手動建立的使用者。

同步 Active Directory 的群組

1. 選擇是否要將群組同步至您的 Dropbox 工作團隊 (非必要)。
2. 若要同步群組，請選擇您是否要續用您用來同步使用者的群組。
3. 若您選擇將群組同步至不同的群組，請選擇群組名稱。

紀錄

1. 如果您想把紀錄檔儲存在不同的路徑，請點選 [Change]。
   • 請注意：若您沒有提供不同的檔案路徑，紀錄檔便會儲存至預設位置：C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

電子郵件通知

1. 若您希望收到所有同步錯誤的電子郵件通知，請點選 [Settings]。
   • 請注意：請使用連接埠 587 或 25 (未加密)；目前不支援連接埠 465。
2. 完成所有區塊後，請使用 [Test Connection]，確認配置無誤。
3. 完成電子郵件設定後，請點選 [OK]。

完成

1. 按一下 [Save] 以保留所有設定。

步驟 5：執行 AD 連接器測試，確認運作正常。

1. 在桌面找到 [Run AD Connector] 捷徑。
2. 在 [Run AD Connector] 工具上按右鍵，選擇 [Run as Administrator]。
3. 查看結果，確保使用者都如預期般列入清單。
4. 如果是的話，重新開啟 Config AD Connector 工具，並取消勾選 [Simulation Mode]。
5. 使用「Run AD Connector」(執行 AD 連接器) 工具，將新成員同步至您的 Dropbox 工作團隊。

步驟 6：找到排定工作並執行。

1. 前往 Program Files \ Dropbox \ AD Connector \ Helpers。
2. 在 [AD-Connector-CreateTask.bat] 上按右鍵，選擇 [Run as Administrator]。
3. 開啟 Windows 伺服器專用的工作排程器 (Task Scheduler) 應用程式。
4. 開啟 [Dropbox Tasks] 資料夾。
5. 在 Dropbox AD 連接器工作上按右鍵，並選擇 [Enable]。
   • 請注意：若您找不到此項工作，請在工作排程器資料庫上按右鍵，並點選 [Refresh]。
6. 在工作上按右鍵，並選擇 [Run]。
7. 找到並查閱 AD Connector 同步紀錄檔，確保測試執行成功。
8. 查閱管理員主控台中的 [成員] 頁面，確認已成功將邀請傳送給團隊成員。

為確保各個排程作業不相互干擾，請在「Settings」（設定）索引標籤中選擇 [Do not start a new instance]（不啟動新執行個體）：

進階設定與疑難排解 (選擇性)

群組與 Dropbox Active Directory 連接器

Active Directory 中的群組會與 Dropbox 同步，但 Dropbox 上的群組不會同步到 AD。Dropbox 中的變更內容不會同步回 Active Directory。從 Dropbox 刪除群組，並不會同時在 Active Directory 刪除該群組。

如要同時刪除 Dropbox 和 Active Directory 裡的群組，您必須：

• 移除 Active Directory 同步群組中的所有成員
• 從配置步驟中移除該同步群組

 

若選擇將使用者和群組同步至單一群組會怎樣？

若群組中有使用者不在同步群組中，便無法同步至 Dropbox。

如果我以另一個 Active Directory 群組與使用者帳戶同步，原本的群組會以什麼方式同步到 Dropbox？

系統會同步使用者同步群組中的所有使用者，並忽略使用者同步群組中的群組。群組同步群組中的使用者，除非同時也在使用者同步群組中，否則會被系統忽略。使用者同步群組中的群組，除非同時也在群組同步群組中，否則會被系統忽略。

帳戶移轉與 Dropbox Active Directory 連接器

AD 連接器不支援將帳戶自動移轉給另一名團隊成員。不過，已刪除的帳戶 (及任何相關檔案) 都會保存在管理員主控台，您可以從主控台移轉或永久刪除帳戶內容。

瞭解如何移轉已刪除使用者的檔案。

遠端清除與 Dropbox Active Directory 連接器

透過 AD 連接器暫停使用者權限或刪除使用者時，所有裝置都會自動被遠端移除。若您要移除使用者或裝置，但不要遠端移除所有內容，請改用管理員主控台。

如果 Active Directory 連接器同步失敗，我該怎麼做？

每次執行 AD 連接器時，紀錄檔尾端都會多出一個結束代碼，該代碼可以說明發生錯誤的原因或是指明出錯的環節。下列表格列舉了發生錯誤的可能原因。

若執行成功，AD 連接器會記錄下「0」。

程式碼	失敗原因	修正錯誤的方法
無法建立 SSL/TLS 安全通道	伺服器或用戶端不支援 TLS 1.2	更新至最新版 AD 連接器（請參閱上述步驟 2），然後確認伺服器有支援 TLS 1.2
-1	Powershell 版本未受支援	升級至 Powershell 4、5 或更新的版本
-10	無法讀取配置檔	若您手動編輯了配置檔，可能其中出現我們的程式碼無法判讀的檔案錯誤。請重新啟動配置程式碼以複寫手動編輯的內容 檢查配置檔的權限設定。執行程式碼應擁有執行此檔案的權限 重新執行配置檔以儲存新檔案
-11	必須有管理員權限才能執行程式碼	選擇程式碼後，按右鍵並選擇 [run with admin privileges]
-12	無法初始化 Active Directory 模組	確認已設定 AD，並與 AD 連接器位於同一裝置 確認 AD 擁有程式碼權限 確認同步群組中的成員少於 5000 名，包括子群組 (2.0 版不支援 5000 名以上的使用者)
-13	無法初始化 Dropbox API	確認可在 status.dropbox.com 上存取 dropbox.com
-14	無法從 Dropbox API 擷取團隊資料	查看錯誤代碼 確認 OAuth 憑證有效 (重新執行配置程式碼以取得新的 OAuth 憑證) 確認管理員驗證成功且團隊仍然存在 確認可在 status.dropbox.com 上存取 dropbox.com
-15	在已配置的 Active Directory 群組中找不到使用者	確認已選取的群組含有您想要同步的使用者 (系統只會將位於此群組中的使用者同步至您的 Dropbox 團隊帳戶)
-16	無法從 Dropbox API 取得團隊成員	再試一次。可能是網路臨時出了問題 確認可在 status.dropbox.com 上存取 dropbox.com
-17	同步時發生錯誤	再試一次。可能是網路臨時出了問題 查看裝置是否受其他工作或錯誤中斷 確認同步群組中的成員少於 5000 名，包括子群組 (2.0 版不支援 5000 名以上的使用者) 使用目前的 2.0 版本時，我們建議您將同步群組的大小限制在 2000 名以下名使用者 聯絡 Dropbox 支援服務

AD 連接器執行程序有哪些階段？

第 1 階段：辨識受管理的使用者

AD 連接器只會更新受管理的使用者。在以下條件符合時會辨識受管理的使用者：

1. AD 連接器會先完成佈建工作。佈建工作發生時機：
   • 新的使用者電子郵件地址新增至已配置的 Active Directory 群組
   • 該電子郵件地址不在 Dropbox 中
2. 使用者是您 Dropbox 工作團隊的現有使用者。「現有使用者」表示該電子郵件地址同時出現在團隊成員清單和已配置的 Active Directory 群組中。

第 2 階段：僅更新受管理使用者的使用者資訊

• 使用者名字
• 使用者姓氏
• 使用者電子郵件地址

AD 連接器能確保 Dropbox 和第 1 階段中受管理使用者 AD 的外部 ID 相符。

例外：AD 連接器不會更新 Dropbox 中處於「已邀請」(但未加入) 狀態的使用者資訊。AD 連接器會在後續的執行過程中，重新嘗試更新。

第 3 階段：僅更新受管理使用者的使用者狀態

停用受管理的使用者並不會將對方從您的 Dropbox 工作團隊中移除，也不會自 AD 同步群組中移除使用者。這些使用者只是在 Dropbox 工作團隊中被暫停權限而已。

針對在第一步被認定為受管理的使用者：AD 連接器會更新 Dropbox 中的使用者狀態（有效、已停用、已刪除），以符合 AD 中的使用者狀態。