从 HR 提供的 CSV 文件中批量创建数百个新用户。
使用管理控制台的批量上传功能。在 CSV 文件中包含 `Org Unit Path` 列,以便将用户直接放入正确的组织部门 (OU)。
原因: 这是批量创建用户并正确分配策略的最有效方法,无需编写脚本。对于一次性入职,比 GCDS 更直接。
CertLabProGoogle Cloud Associate Google Workspace Administrator
最后审核:2026年5月
AGWA 考试涉及的架构模式快速参考。从头到尾阅读,或跳转到任意章节。
从 HR 提供的 CSV 文件中批量创建数百个新用户。
使用管理控制台的批量上传功能。在 CSV 文件中包含 `Org Unit Path` 列,以便将用户直接放入正确的组织部门 (OU)。
原因: 这是批量创建用户并正确分配策略的最有效方法,无需编写脚本。对于一次性入职,比 GCDS 更直接。
一名员工即将离职。需要保留他们的 Drive 文件并将其所有权转移给他们的经理。
在暂停或删除用户之前,使用管理控制台的数据传输工具将所有 Drive 文件的所有权转移给经理。
原因: 保留数据完整性并确保业务连续性。直接所有权转移比共享更清晰,并维护清晰的审计跟踪。
不同的部门和团队需要独特的服务设置和安全策略。
创建分层的组织部门 (OU) 结构(例如,/Sales/East, /Sales/West)。在父 OU 应用广泛策略,并在子 OU 应用特定覆盖。
原因: OU 提供分层策略继承,允许对不同用户群体的设置进行可扩展的精细控制。
自动管理工程部门所有用户(包括新员工)的群组 सदस्यता。
创建一个动态群组,其 सदस्यता 查询基于用户属性 `department==Engineering`。
原因: 根据用户属性自动管理 सदस्यता,消除手动更新,并确保用户角色变化时的一致性。
授予帮助台人员仅重置主办公室 OU 中用户密码的权限。
创建一个仅包含“用户 > 重置密码”权限的自定义管理员角色。将此角色分配给帮助台团队,并将其范围设定为仅适用于目标 OU。
原因: 实施最小权限原则。自定义的、有范围的角色可防止委托的管理员影响其职责范围之外的用户或设置。
通过 GCDS 从 Active Directory 同步,但用户 UPN 包含旧域名。需要使用新的、正确的域名创建用户。
在 GCDS 中,为电子邮件地址属性配置一个属性转换规则,以将旧域名字符串替换为新域名。
原因: 在同步过程中纠正数据,而无需修改源 Active Directory,这通常不可行。
用户在 15 天前被意外删除。他们的经理现在需要他们 Drive 中的一个关键文件。
从管理控制台恢复最近删除的用户。恢复窗口为 20 天。恢复后,转移数据,然后根据需要重新删除。
原因: 删除的用户可在 20 天内恢复。如果没有设置 Vault 保留/保留策略,这是恢复其数据的唯一方法。
一个支持团队需要一个共享邮箱地址(support@),多个成员可以在其中管理、分配和跟踪客户咨询。
创建一个 Google 群组并将其配置为“协作收件箱”。
原因: 这种群组类型专为共享工作流设计,允许对话分配和解决跟踪,优于标准通讯组列表或共享用户账户。
对销售部门所有发出的电子邮件强制执行标准化的法律免责声明和品牌标识。
在 Gmail 设置中,配置一个合规性规则,其操作为“附加页脚”,并将其范围设定为销售 OU。
原因: 这会在服务器级别附加一个不可编辑的页脚,确保 100% 合规。用户端的解决方案可能会被修改或绕过。
允许用户对外共享 Drive 文件,但仅限于特定的、已批准的合作伙伴域。
在 Drive 共享设置中,将合作伙伴域添加到“允许的域”列表,并将共享策略设置为“仅限允许的域”。
原因: 在安全性和协作之间取得平衡,防止与未经授权的外部方共享数据,同时支持批准的合作伙伴关系。
允许外部访客加入 Google Meet,但阻止他们在内部主持人到来之前加入。
在 Google Meet 安全设置中,确保“主持人必须允许来自您组织外部的人员” (敲门) 已启用。
原因: 通过创建虚拟大厅增强会议安全性,让主持人控制外部参与者何时以及哪些外部参与者可以加入。
从本地 Exchange 服务器迁移到 Gmail,同时确保入站电子邮件零停机。
配置双重投递。在 Workspace 中设置邮件路由以将邮件转发到旧版 Exchange 服务器,然后将 MX 记录指向 Google。
原因: 确保用户在分阶段迁移期间在两个邮箱中都收到邮件,防止邮件丢失并实现平稳过渡。
防止用户在 Docs、Sheets 和 Gmail 中安装未经审查的第三方附加组件。
在 Marketplace 设置中,配置一个已批准应用程序的允许列表,并将策略设置为仅允许用户使用允许列表中的应用程序。
原因: 通过创建 IT 批准工具的“围墙花园”,降低恶意或数据渴求型第三方应用程序带来的安全风险。
为了合规,所有电子邮件必须保留 7 年,即使用户将其从邮箱中删除。
在 Google Vault 中,为 Gmail 创建一个自定义保留规则,持续时间为 7 年。不要设置过期。
原因: Vault 保留独立于用户操作。它为电子发现和合规性提供了一个合法可辩护的存档,与实时用户邮箱分离。
法务部门要求无限期保留特定员工(保管人)的所有数据,以备待决诉讼。
在 Google Vault 中,创建一个事项 (Matter),将用户识别为保管人,并对他们设置法律保留 (Legal Hold)。
原因: 法律保留会覆盖所有保留和删除策略。数据将一直保留,直到明确解除保留,确保履行法律保留义务。
防止用户意外与外部方共享包含信用卡号或 PII 的文档。
在 `Security > Data protection` 中创建一个数据丢失防护 (DLP) 规则。使用预定义的检测器(例如,信用卡号)并设置外部共享的触发条件。操作应为“阻止外部共享”。
原因: DLP 实时扫描内容,自动执行数据保护策略,降低人为错误导致数据泄露的风险。
为遵守 GDPR,确保所有欧洲员工的主要静态数据都存储在欧洲数据中心。
将欧洲用户放入专用 OU。在 `Account > Data regions` 中,将“欧洲”数据区域策略应用于该 OU。
原因: 此功能通过控制特定服务主要数据的地理存储位置,直接满足数据驻留要求。
用户在 10 天前永久删除了一个关键 Drive 文件。它不再在他们的垃圾箱中。
如果 Vault 保留规则或保留策略涵盖了该用户,则在 Vault 中搜索该文件并导出以进行恢复。
原因: Vault 充当安全网。受保留/保留策略覆盖的数据即使在用户“永久”删除后也会被保留。
一名受法律保留的员工即将离职。您需要保留他们的数据和保留,但要释放他们的完整许可证。
暂停用户账户并分配“已存档用户 (AU)”许可证。数据保留在 Vault 中并受保留策略约束。
原因: AU 许可证是一种经济高效的方式,可以在不消耗完整活跃许可证的情况下,为前员工保留数据以用于合规和法律目的。
仅允许从公司管理的设备或连接到办公网络时访问 Workspace。
配置情境感知访问 (Context-Aware Access)。为“合规设备”(来自端点管理)和“公司 IP 范围”创建访问级别。应用要求其中一个级别才能访问的策略。
原因: 这是 Workspace 零信任模型的核心,从网络边界转移到根据设备和用户上下文(无论位置如何)强制执行访问策略。
用户账户疑似遭到泄露。攻击者可能具有活动会话或应用程序访问权限。
立即执行:1) 重置用户密码。2) 撤销所有第三方 OAuth 令牌。3) 登出所有网络会话。
原因: 这三步流程确保攻击者被锁定在所有访问点之外:直接登录、基于应用程序的访问和现有浏览器会话。
防止用户将公司数据访问权限授予有风险或未经审查的第三方 OAuth 应用程序。
在 `Security > API controls` 中,配置“应用程序访问控制”以默认阻止未配置的应用程序,然后将特定的、经过审查的应用程序添加到“受信任”列表。
原因: 这使得第三方应用程序从默认允许转变为默认拒绝的安全态势,让 IT 完全控制哪些应用程序可以访问公司数据。
使用第三方 IdP 实施单点登录 (SSO),但确保在 IdP 关闭时管理员仍可访问。
为整个组织配置 SAML SSO。为超级管理员创建单独的群组或 OU,并配置网络掩码或群组设置以将其排除在 SSO 要求之外。
原因: 提供了一个关键的“紧急访问”程序,允许管理员在 IdP 中断期间使用 Google 凭据登录以管理环境。
防止攻击者在网络钓鱼攻击中伪造您的域名并提高电子邮件送达率。
为您的域名正确配置 SPF、DKIM 和 DMARC DNS 记录。将 DMARC 策略设置为 `p=reject` 以实现全面强制执行。
原因: 这三个标准协同工作以验证您的出站邮件,允许接收服务器自信地拒绝冒充您域名的欺诈性邮件。
需要主动通知安全事件,例如可疑登录或政府支持的攻击警告。
定期监控警报中心。配置警报规则,将高优先级事件的电子邮件通知发送给安全团队。
原因: 警报中心是安全相关事件的集中枢纽。主动通知可实现快速事件响应。
用户丢失了手机且没有备用代码,导致他们无法访问其受 2SV 保护的账户。
作为管理员,选择用户并为他们生成一次性使用的备用验证码以重新获得访问权限。
原因: 这是用户恢复的标准安全程序,无需暂时禁用 2SV(这会削弱安全性)。
强制实施最强的身份验证形式,以保护高风险用户免受网络钓鱼。
强制执行仅要求使用安全密钥 (FIDO) 的两步验证策略。
原因: 安全密钥具有防钓鱼功能,因为它们使用公钥加密并验证登录页面的来源,这与可能被钓鱼的 TOTP 或 SMS 不同。
包含敏感数据的公司管理移动电话丢失或被盗。
在管理控制台的“设备”下,找到该设备并立即启动远程“擦除设备”命令。
原因: 这是针对丢失的受管理设备的主要安全响应。它远程恢复设备出厂设置或擦除工作配置文件,保护公司数据免遭未经授权的访问。
对所有公司 Chrome 浏览器(Windows、Mac)强制执行一组标准的安全设置和强制扩展程序。
将浏览器注册到 Chrome 浏览器云管理 (CBCM)。将策略应用于用户/浏览器 OU,以强制安装扩展程序、阻止其他扩展程序并配置设置。
原因: CBCM 提供对任何平台上的 Chrome 浏览器的集中式云管理,确保一致的策略和安全态势。
允许员工将个人 Android 设备用于工作 (BYOD),同时保持公司数据分离和安全。
实施高级移动管理,并强制在员工拥有的设备上创建 Android 工作配置文件。
原因: 工作配置文件创建一个操作系统级别的容器,将工作应用程序和数据与个人数据隔离。整个容器可以远程擦除,而不会影响用户的个人文件。
情境感知访问策略必须在授予访问权限之前验证设备是否为公司所有且已加密。
将 Google Endpoint Verification 扩展/代理部署到所有受管理设备。将 CAA 访问级别配置为要求“合规”或“公司所有”设备状态。
原因: Endpoint Verification 是收集和报告设备姿态给 CAA 引擎的代理,从而实现基于设备信任的访问控制。
用户报告发送给特定合作伙伴的电子邮件被退回或严重延迟。
使用管理控制台中的“电子邮件日志搜索”工具。搜索示例邮件以查看完整的送达路径、时间戳以及收件服务器的任何拒绝错误。
原因: 电子邮件日志搜索是诊断送达问题的权威工具。它提供详细信息,确认邮件是否已离开 Google 以及被拒绝的原因。
组织中多个用户突然无法登录,报告凭据验证错误。
问题可能出在第三方身份提供商 (IdP)。检查 IdP 服务的状态和 SSO 配置中 SAML 证书的有效性。
原因: SSO 环境中普遍的、突然的登录失败几乎总是指向外部 IdP,而不是单个用户账户。
用户报告其 Google Authenticator 应用程序中的 6 位代码始终被拒绝。
指示用户检查并同步其移动设备上的时钟。Authenticator 应用程序具有时间校正功能。
原因: 基于时间的一次性密码 (TOTP) 代码高度依赖于同步时间。时钟漂移是代码被拒绝最常见的原因。
特定办公室的用户抱怨 Google Meet 视频质量差,而其他办公室则正常。
调查受影响办公室的本地网络。检查带宽饱和度、高延迟/抖动,并确保防火墙规则没有限制或阻止 Google Meet 流量。
原因: 特定位置的性能问题几乎总是由本地网络问题引起,而不是 Google 服务本身。
一个用户无法收到来自外部发件人的电子邮件,但他们的同事可以。
检查用户的个人 Gmail 设置中是否有任何可能重定向或删除入站电子邮件的过滤器或被阻止的发件人规则。
原因: 当问题仅影响单个用户时,原因通常是用户级别的配置,而不是组织级别的策略。
用户可以开始 Meet 录制,但会议结束后未能保存。
检查用户的 Google Drive 存储配额。如果用户空间不足,录制将失败。
原因: Meet 录制文件保存到组织者“我的云端硬盘”中的“Meet 录制文件”文件夹中。云端硬盘配额已满是保存失败最常见的原因。