方法：会社全体のG Suiteでプライマリドメインを変更し、すべてのデータを保持する

G Suiteの会社のメインドメインを.ruから.comに変更し、すべてのデータ、カレンダー、エイリアス、サードパーティリソースへのアクセスを保存する必要がありました。 インターネットへの移行に関する情報はあまりありません。または、Googleの助けを除いて、何も見つからなかったため、このハウツーが作成されました。 誰かがこれを繰り返すことに決めた場合に役立ちます。



実際には、最初は会社がpixonic.ruドメインを使用していました。 その後、ニックネームpixonic.comが追加されましたが、デフォルトではどこでも.ruゾーンにメールがありました。 また、多くの会社の従業員は外国の同僚やクライアントとやり取りしているため、国際的なフォーマットを使用したいという要望がありました。 これを行うには、アカウント設定に入り、メインのメールアドレスを個別に変更し、企業テンプレートに従って署名をする必要がありました。 誰もがそれをやったわけではありません（またはやったが、しばらくしてから）、メッセージブランチでどのような混乱と混乱が起こっているか想像できます。 外部パートナーの場合、署名が異なるため、これはさらに見栄えが悪く見えました。



一般に、決定された時が来ました-すべての通信はpixonic.comメールを使用して実施する必要があります。 タスクはシステム管理者に任されました。



記事の最後には、スクリプト全体へのリンクがあるため、テキストにはその一部のみが含まれます。



GoogleはビジネスにGoogleを使用しているため、メールは同じサービス上にあります。 だから何があった：

1. ドメインpixonic.ru。
2. エイリアスはpixonic.comおよびpixonic.orgです。
3. 〜200アカウントおよび〜80配布グループ。
4. 一部のアカウントのエイリアスの束。
5. 会社の共通カレンダーを含むカレンダー。
6. 接続されたGoogle Analytics。
7. Googleドライブに関する数十テラバイトの重要な情報。
8. Googleアカウントを使用して承認が行われたサードパーティのサービスJira、Slackなど。

計画されたもの：

1. pixonic.comをメインドメインにし、pixonic.ruとpixonic.orgをエイリアスにします。
2. pixonic.comのすべてのアカウントを、Googleドライブに保存されているすべての通信および情報とともに移動します。
3. 参加者の構成と権利を保持した郵便グループの移転。
4. すべてのユーザーエイリアスを保存します。
5. アカウントのGoogleドライブ内のすべての共有ファイルへのアクセスを保存します。
6. スケジュールされた会議およびイベントに関する情報が失われないようにカレンダーを保存します。
7. JiraおよびSlackでアクセスを保存します。
8. メールの損失を避けるために最大限に。

もちろん、彼らがテクニカルサポートに最初に書いたのは、メインドメインを変更することでした。 彼らは答えを得ました-彼らはこれを行うことができず、一般的に、彼らはそれを決して危険にさらさないことを助言しました。



わかった 各ユーザーのアカウントを手動で再構成することは、かなり見込みがあります。 さらに、新しい従業員ごとに同様の手順を個別に行う必要があります。 APIを使用してそれを実行することもできますが、これでもすべての問題が解決するわけではありません。 多くは、古い設定でサードパーティのメールクライアントを使用しています。 そして、新入社員の問題はどこにも行きません。



証明書には、Google自体から移行するための5つのポイントがあります。

1. 追加のドメインを追加し、MXレコードを構成します。
2. 新しいドメインをプライマリにします。
3. 新しいプライマリドメインに従ってユーザーの名前を変更します。
4. 新しいプライマリドメインに従ってグループの名前を変更します。
5. 古いプライマリドメインを削除します（オプション）。

複雑に見えませんが、試してみる必要があります。



そのような行動の結果として何が正確に残り、何が失われる可能性があるかは示されていません。 そのため、テスト環境を作成し、別のG Suitを購入して、テストドメインを追加しました。



次に、移動の要件を特定しました。情報の保存、ユーザーの権利とアクセスです。 つまり エンドユーザーが直面しなければならなかった唯一の問題は、すべてのデバイスで新しいアカウントを再入力する必要があることでした。



そして、彼らはテストを開始しました。



考えられるシナリオとテストのテストには、ほぼ1か月かかりました。 テスト結果は非常に心強いものだったため、作業環境ですべてを繰り返すことにしました。

アクションアルゴリズム

手作業なしでできることはすべて、Python 3.6スクリプトによって行われました。 サードパーティのモジュールから、google-api-python-client、oauth2client、httplib2、apiclient、およびpyopensslが必要です。 pipを使用して問題なくインストールします。



Google APIを使用するには、開発者コンソールでサービスアカウントを作成する必要があります。 これを行うには、プロジェクトを作成（または既存のものを使用）し、「資格情報→資格情報の作成→サービスアカウントキー」を選択します。







「新しいサービスアカウント」を選択し、名前を付け、役割を「所有者」に割り当て、キーP12を選択します（キーについてはあまり重要ではありませんが、テスト中にJSONを使用してログインしたのは、特定のユーザーからの明示的な許可のみですこの場合は適切ではありません）。







管理者のコンソールの [セキュリティ]→[詳細設定]→[APIクライアントアクセスの制御]でサービスアカウントを承認します。



APIは、許可されているエリアでのみ機能します（すべてのエリアの説明はこちらで確認できます ）。 私は次を使用しました：

• メール（読み取り/書き込み/送信） mail.google.com
• www.googleapis.com/auth/activity
• ドメインwww.googleapis.com/auth/admin.directory.groupでグループのプロビジョニングを表示および管理します
• ドメインwww.googleapis.com/auth/admin.directory.userのユーザーのプロビジョニングを表示および管理します
• www.googleapis.com/auth/drive.metadata.readonly
• www.googleapis.com/auth/gmail.settings.basic
• www.googleapis.com/auth/gmail.settings.sharing

APIの検証後、移行作業自体に進むことができます。



スクリプト全体の基本は、必要なアクションに応じて、権限を取得してユーザーに委任することです。 つまり メール内の誰かの署名を変更する必要がある場合は、同じアカウントに委任する必要があります。 ユーザーのリストを取得する場合-管理者アカウントなどへ



それは私のように見えます：

def get_credentials(email): #      e-mail credentials = ServiceAccountCredentials.from_p12_keyfile( SERVICE_ACCOUNT_EMAIL, SERVICE_ACCOUNT_PKCS12_FILE_PATH, 'notasecret', scopes=['https://www.googleapis.com/auth/admin.directory.user', 'https://www.googleapis.com/auth/gmail.settings.sharing', 'https://www.googleapis.com/auth/gmail.settings.basic', 'https://mail.google.com/', 'https://www.googleapis.com/auth/activity', 'https://www.googleapis.com/auth/drive.metadata.readonly', 'https://www.googleapis.com/auth/admin.directory.group']) delegate_credentials = credentials.create_delegated(email) return delegate_credentials.authorize(httplib2.Http())
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

実際、各アクションの前にこの関数を呼び出してから、APIを操作および起動するアプリケーションを選択します。 実行APIは、実行の結果または要求されたデータのいずれかを返します。

 http = get_credentials(adminEmail) service = build('admin', 'directory_v1', http=http) data = service.users().aliases().list(userKey=usermail).execute() print(data)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

まず、ユーザー、グループ、グループ、ユーザーエイリアス、グループエイリアスに関する情報など、必要なすべてのもののバックアップを作成します。



ここではすべてが簡単です。Googleがすべての情報をJSON形式で提供し、それを操作すると便利なため、情報を要求し、ファイルに書き込みます。

 def backUpInfo(filename=''): path = os.path.expanduser('~/Documents/backup/') prefix = path+'backup' if not (filename == ''): prefix = path + filename #backupUsers with open(prefix + 'Users.json', 'w') as file: userInfo = getAllInfoUsers() file.write(json.dumps(userInfo, indent=4)) print(prefix + 'Users.json done') #backupGroups with open(prefix + 'Groups.json', 'w') as file: groupInfo = getAllInfoGroups() file.write(json.dumps(groupInfo, indent=4)) print(prefix + 'Groups.json done') #backupUsersInGroups with open(prefix + 'UsersInGroups.json', 'w') as file: groupInfo = getAllUsersInGroups() file.write(json.dumps(groupInfo, indent=4)) print(prefix + 'UsersInGroups.json done') #backupUsersAliases with open(prefix + 'UsersAliases.json', 'w') as file: info = getUsersAliases() file.write(json.dumps(info, indent=4)) print(prefix + 'UsersAliases.json done') #backupGroupsAliases with open(prefix + 'GroupsAliases.json', 'w') as file: info = getGroupAliases() file.write(json.dumps(info, indent=4)) print(prefix + 'GroupsAliases.json done')
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次の手順では、comエイリアスを削除して、ドメインとして追加します。 これらのアクションは、管理コンソール→ドメイン→ドメインの追加/削除で実行されます。



ドメインを追加するとき、MXレコードを指定する必要があり、サービスがそれらをチェックするのに時間が必要です（この場合、数分かかりました）。 原則として、テストの終了は待つことができず、作業を続行できません。



ドメインを追加した後、ドメインをメインドメインにすることができます（これはGスーツの試用版では不可能です。有料版にのみ表示され、支払い直後ではなく、試用期間が終了した後にのみ表示されますが、これは奇妙です）。



次に、ユーザーとグループを新しいドメインに転送します。 アルゴリズムは次のとおりです。

• 管理者アカウントに権限を委任します。
• ユーザーのリスト全体をアンロードします。
• 作業を行う管理者アカウントを除き、各ユーザーを確認します。
• API関数users（）を使用してprimaryEmailフィールドを変更します（）。update（）。

つまり APIを介してユーザーを転送するには、メインのメールアドレスのドメインを.ruから.comに変更します。 次のようになります。

 def moveUsers(domain): #     users = getUsers() #   ,  adminEmail for a in users: if adminEmail in a[0]: continue try: renameUser(a[0], domain) print('Done: ' + a[0]) except Exception as e: print(sys.exc_info()[0], ":", e) print('Failed: ' + a[0]) print("Users done!!!")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ユーザー（）。更新（）関数は、ユーザープロファイルの情報を変更できるため、非常に便利です。 JSON形式のユーザーログインおよび変数パラメーターは、パラメーターで渡されます。

 def renameUser(email, domain): patch = {'primaryEmail': changeMailDomain(email=email, domain=domain)} http = get_credentials(adminEmail) service = build('admin', 'directory_v1', http=http) service.users().update(userKey=email, body=patch).execute()
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

同様に、プロファイルに情報を追加できます。たとえば、Skypeアカウント、追加のポジション、その他の好みのものです。



グループに対しても同様の操作を実行します。



アカウントを新しいドメインに移します。 その後、新しいアカウントにログインして、サービスアカウントを再度認証する必要があります。 その中の何かを変更する必要はなく、「Authorized API Clients」列から名前を取得し、2番目の列から必要な領域のリストを取得します。



現在、古いドメインには誰もいるべきではありません。 したがって、管理コンソールのドメインのリストに移動して削除します。 そして、それを場所に追加しますが、すでにエイリアスとして（古いドメインが必要な場合）。



最後の仕上げがあります。 エイリアス「com」を最初に削除した後、すべてのユーザーとグループのエイリアスも削除されたため、最初に行ったバックアップからそれらを復元する必要があります。 同時に、すべてのエイリアスでドメインを新しいドメインに変更することは理にかなっています。 エイリアスはすべてのセカンダリドメインに自動的に表示されます。 これを行うには、バックアップから情報をダウンロードし、各ユーザーを調べて、ユーザーを使用して使用可能な場合はすべてのエイリアスを復元します（）、エイリアス（）、挿入（userKey = email、body = body）。



同様の操作がグループに対して実行されます。



まあ、それだけです。



Githubへのリンク。



PS一部の変更はすぐには表示されません。 たとえば、古いドメインを削除してエイリアスとして追加した後、管理パネルで他のユーザーのアカウントにアクセスすると、そのエイリアスはそこに表示されますが、実際には存在しません。 いずれにせよ、それらを復元する必要があります。

結果は何ですか？

最小限の損失で移動しました。 バックアップコピーを作成してからエイリアスの復元に20分ほどかかるまで作業します。



アクセスは失われず、メールグループの構成は変更されていません。 アカウントの問題について誰も不満を言わなかった、彼らは私がアカウントにログインすることもファイルを読むこともできないと言う。 一般的なカレンダーはそのままで、スケジュールされたイベントは消えませんでした。



サードパーティのサービスでは、すべてがそれほど喜ばしいわけではありませんが、受け入れられます。 それらの認証は飛び去りませんでしたが、古いメールに登録した人は誰でもその下に行く必要があるため、Google +からログインを選択することはできません。 これはあまり影響しませんでした。なぜなら すべてのユーザーは、作業の前後にこれについて警告されました。 Slackの場合、ユーザーのアドレスを変更することにより、APIを通じて問題を解決することもできます。 悲しいかな、クラウドJiraではこれは機能しませんが、ローカルサーバーを使用すると問題は解決します。



ボーナスとして、企業のテンプレートに従って作成された既製の署名を使用してユーザーを作成するための優れたツールがありました。 また、必要に応じて、ユーザーの介入なしに署名を簡単に更新できます。 さらに、APIを使用すると、従業員プロファイルの情報を更新したり、逆に受信したりするのに便利です。