Dropbox 的 Active Directory 連接器

特定類型的管理員可以利用 Active Directory 管理 Dropbox Business 工作團隊的成員資格。有了 Dropbox Active Directory 連接器，Active Directory 上的任何變更都會自動同步到 Dropbox。

在 Dropbox 管理員主控台對 AD 進行的變更，皆不適用於 AD 連接器。AD 連接器會覆寫管理員主控台中對受管理成員的變更。

您可以聯絡我們的身分管理合作夥伴，讓他們進一步協助您設定 Dropbox Business 帳戶的 AD 連接器。

這篇文章的區段:

步驟 1：查閱 AD 連接器的最佳操作方式。

操作需求：

所有您想由 Active Directory 同步至 Dropbox 的使用者，都必須是位於單一 AD 網域的有效使用者
PowerShell 4.0 以上的版本
Windows 伺服器 2008 (或更高版本)
遠端伺服器管理工具

建議事項：

建立一個叫「Dropbox」的群組，並把您想要佈建的所有成員都加進來。您可以把使用者和群組都加至此 Dropbox 群組。
以唯讀模式將 AD 連接器安裝至伺服器 (AD 連接器僅會同步 AD 方的變更)。
由舊版 AD 連接器升級：若您要將 AD 連接器由 2.0.1 版升級至 2.0.2 版，通常只需安裝新版，即可正確更新。不過，若您是從主版本升級至另一主版本 (由 1.0 版升級至 2.0 版)，必須先解除安裝目前的版本，才能更新成新版本。
使用目前的 AD 連接器時，我們建議您不要一次由 Active Directory 同步超過 10,000 名使用者。若您想要藉由 AD 連接器同步 10,000 名以上的使用者，請與您的 Dropbox 客戶關係團隊聯絡。

返回選單

步驟 2：下載 AD 連接器 Microsoft 安裝程式 (MSI)。

下載安裝程式

返回選單

步驟 3：安裝 AD 連接器。

找到並執行 Dropbox-AD-Connector.msi 安裝程式。
按一下 [Next]，繼續安裝精靈。
勾選方格接受條款，再按一下 [Next]。
按一下 [Next]，在預設路徑進行安裝。
按一下 [Install]，若出現「User Account Control (UAC)」視窗，請選擇 [Yes]。
新手指南 (Get Started) 已預設勾選，如果您已開啟此份指南，請取消勾選。
選擇 [Finish] 結束安裝。

返回選單

步驟 4：設定配置 AD 連接器工具。

完成配置 AD 連接器有五個步驟：

設定。
同步 Active Directory 中的使用者。
同步 Active Directory 中的群組。
紀錄。
電子郵件通知。

請仔細遵照每一步驟進行，以完成設定：

設定

在您的桌面上找到並打開 Configure AD Connector 捷徑。
按一下 [Get OAuth2 Token]，連結至您的 Dropbox 帳戶。
- 若有需要，請以您的管理員帳號密碼登入 Dropbox
- 若需要的話，請准許 AD 連接器存取應用程式
複製憑證。
把複製的憑證貼上 [OAuth 2 DfB Token] 欄位。
若您想測試設定，請勾選 [Simulation Mode]。
- 請注意：執行模擬模式時，您的 Dropbox Business 工作團隊不會遭到任何變更

同步 Active Directory 的使用者

選擇您想要與 Dropbox Business 團隊同步的 Active Directory 群組。
- 最簡單的就是建立一個叫做「Dropbox」的 Active Directory 群組
確認您已將 [Email Attribute] 設為 [Email Address]。
選擇 [Manage existing users]，將變更內容同步至透過 Dropbox Business 管理員主控台中手動建立的使用者。

同步 Active Directory 的群組

選擇您是否要同步群組至您的 Dropbox Business 團隊 (非必要)。
若要同步群組，請選擇您是否要續用您用來同步使用者的群組。
若您選擇將群組同步至不同的群組，請選擇群組名稱。

紀錄

如果您想把紀錄檔儲存在不同的路徑，請點選 [Change]。
- 請注意：若您沒有提供不同的檔案路徑，紀錄檔便會儲存至預設位置：C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log

電子郵件通知

若您希望收到所有同步錯誤的電子郵件通知，請點選 [Settings]。
- 注意：請使用連接埠 587 或 25 (未加密)；連接埠 465 目前未受支援
完成所有區塊後，請使用 [Test Connection]，確認配置無誤。
完成電子郵件設定後，請點選 [OK]。

完成

按一下 [Save] 以保留所有設定。

返回選單

步驟 5：執行 AD 連接器測試，確認運作正常。

在桌面找到 [Run AD Connector] 捷徑。
在 [Run AD Connector] 工具上按右鍵，選擇 [Run as Administrator]。
查看結果，確保使用者都如預期般列入清單。
如果是的話，重新開啟 Config AD Connector 工具，並取消勾選 [Simulation Mode]。
使用 [Run AD Connector] 工具，將新成員同步至您的 Dropbox Business 團隊。

返回選單

步驟 6：找到排定工作並執行。

前往 Program Files \ Dropbox \ AD Connector \ Helpers。
在 [AD-Connector-CreateTask.bat] 上按右鍵，選擇 [Run as Administrator]。
開啟 Windows 伺服器專用的工作排程器 (Task Scheduler) 應用程式。
開啟 [Dropbox Tasks] 資料夾。
在 Dropbox AD 連接器工作上按右鍵，並選擇 [Enable]。
- 請注意：若您找不到此項工作，請在工作排程器資料庫上按右鍵，並點選 [Refresh]。
在工作上按右鍵，並選擇 [Run]。
確認測試執行成功：請查看 AD 連接器同步紀錄。
確認邀請已送給團隊成員：查看 Dropbox Business 管理員主控台中的 [成員] 頁面。

建立排程工作時的注意事項：

預設上，這項作業會在當地時間每天早上 2 點執行一次
您可以增加此工作的頻率，但我們建議每次間隔不要少於三小時
為確保各個排程工作不相互干擾，在 [Settings] 分頁中選擇 [Do not start a new instance]：

返回選單

進階設定與疑難排解 (選擇性)

群組與 Dropbox Active Directory 連接器

Active Directory 中的群組會與 Dropbox 同步，但 Dropbox 上的群組不會同步到 AD。Dropbox Business 中的變更內容不會同步回 Active Directory。從 Dropbox Business 刪除群組，並不會同時在 Active Directory 刪除該群組。如要同時刪除 Dropbox Business 和 Active Directory 裡的群組，您必須：

移除 Active Directory 同步群組中的所有成員
從配置步驟中移除該同步群組

提醒您：

如果您在 Active Directory 和 Dropbox Business 中有多個名稱相同的群組，群組會同步失敗。系統會產生一筆錯誤紀錄。
您無法在 Dropbox 上將群組置於其他群組中。Dropbox Business 中的群組不能有多層結構。每個群組皆是單層結構，不能容納其他群組。

若選擇將使用者和群組同步至單一群組會怎樣？

若群組中有使用者不在受同步的群組中，該群組便不會同步至 Dropbox Business。

如果我以另一個 Active Directory 群組與使用者帳戶同步，原本的群組會以什麼方式同步到 Dropbox？

系統會同步使用者同步群組中的所有使用者，而在使用者同步群組中的群組則會被忽略。在群組同步群組中的使用者也會被系統略過，除非該使用者同時也存在使用者群組中。放置在使用者同步群組中的群組會被系統略過，除非該群組也存在群組同步群組中。

帳戶移轉與 Dropbox Active Directory 連接器

AD 連接器並不支援將帳戶自動移轉給另一名團隊成員。不過，已刪除的帳戶 (及任何相關檔案) 都會保存在管理員主控台，您可以從主控台中移轉或永久刪除帳戶內容。瞭解如何移轉已刪除使用者的檔案。

遠端清除與 Dropbox Active Directory 連接器

透過 AD 連接器暫停使用者權限或刪除使用者時，所有裝置都會自動被遠端移除。若您要移除使用者或裝置，但不要遠端移除所有內容，請改用管理員主控台。

如果 Active Directory 連接器同步失敗，我該怎麼做？

每次執行 AD 連接器時，紀錄檔尾端都會多出一個結束代碼，該代碼可以說明發生錯誤的原因或是指明出錯的環節。下列表格列舉了發生錯誤的可能原因。

備註：若執行成功，AD 連接器會記錄下「0」

程式碼	失敗原因	修正錯誤的方法
-1	Powershell 版本未受支援	升級至 Powershell 4、5 或更新的版本
-10	無法讀取配置檔	若您手動編輯了配置檔，可能其中出現我們的程式碼無法判讀的檔案錯誤。請重新啟動配置程式碼以複寫手動編輯檢查配置檔的權限設定。執行程式碼應擁有執行此檔案的權限重新執行配置檔以儲存新檔案
-11	必須有管理員權限才能執行程式碼	選擇程式碼後，按右鍵並選擇 [run with admin privileges]
-12	無法初始化 Active Directory 模組	確認已設定 AD，並與 AD 連接器位於同一裝置確認 AD 擁有程式碼權限確認同步群組中的成員少於 5000 名，包括子群組 (2.0 版不支援 5000 名以上的使用者)
-13	初始化 Dropbox Business API 失敗	確認可在 status.dropbox.com 上存取 dropbox.com
-14	無法由 Dropbox Business API 擷取團隊資料	查看錯誤代碼確認 OAuth 憑證有效 (重新執行配置程式碼以取得新的 OAuth 憑證) 確認管理員驗證成功且團隊仍然存在確認可在 status.dropbox.com 上存取 dropbox.com
-15	在已配置的 Active Directory 群組中找不到使用者	確認已選取的群組含有您想要同步的使用者 (系統只會將位於此群組中的使用者同步至您的 Dropbox Business 團隊)
-16	無法由 Dropbox Business API 取得團隊成員	再試一次。可能是網路臨時出了問題確認可在 status.dropbox.com 上存取 dropbox.com
-17	同步時發生錯誤	再試一次。可能是網路臨時出了問題查看裝置是否受其他工作或錯誤中斷確認同步群組中的成員少於 5000 名，包括子群組 (2.0 版不支援 5000 名以上的使用者) 使用目前的 2.0 版本時，我們建議您將同步群組的大小限制在 2000 名以下名使用者聯絡 Dropbox 支援服務

AD 連接器執行程序有哪些階段？

第 1 階段：辨識受管理的使用者。

AD 連接器只會更新受管理的使用者。在以下條件符合時會辨識受管理的使用者：

AD 連接器會先完成佈建工作。a) 使用者的電子郵件地址加入已配置的 Active Directory 群組中，且 b) 該電子郵件地址不存在於 Dropbox Business 中時，便會進行佈建。
使用者是您 Dropbox Business 團隊的現有使用者。「現有使用者」表示該電子郵件地址同時出現在團隊成員清單和已配置的 Active Directory 群組中。

備註：

此項只有在 AD 連接器配置中勾選了管理現有使用者的方塊時才會執行。
如果上述兩個條件有一項不符合，該使用者就會認定為未受管理，不會經由 AD 連接器更新。對大多數的管理員來說，管理現有使用者是最佳的執行選項。

第 2 階段：僅更新受管理使用者的使用者資訊。

使用者名字
使用者姓氏
使用者電子郵件地址

AD 連接器能確保 Dropbox Business 和第 1 階段中受管理使用者 AD 的外部 ID 相符。

例外：AD 連接器並不會更新 Dropbox Business 中處於「已邀請」(但未加入) 狀態的使用者資訊。AD 連接器會在後續的執行過程中，重新嘗試更新。

第 3 階段：僅更新受管理使用者的使用者狀態。

停用受管理的使用者並不會將使用者從您的 Dropbox Business 團隊中移除，也不會由 AD 同步群組中移除使用者。這些使用者只是在您的 Dropbox Business 中，被暫停權限而已。
對於在第一步被認定為受管理的使用者來說：AD 連接器會更新 Dropbox Business 中的使用者狀態 (有效、已停用、或已刪除)，以符合 AD 中的使用者狀態。

返回選單