某企业需要将LDAP服务器中的组织结构同步到设备中，并保持和LDAP服务器同步，需要AF配置LDAP自动同步。

步骤1.设置需要同步的LDAP服务器，设置IP、端口、登陆用户名密码等信息，具体请参考外部认证服务器配置。

步骤2.进入[用户认证/LDAP自动同步]，点击<新增>，在弹出的[LDAP同步]窗口中设置同步参数。

步骤3.在[LDAP同步]窗口中，设置策略名称、策略描述、同步工作模式、自动同步。[同步工作模式]选择按组织结构（OU）同步，自动同步选择启用，自动同步一天同步一次。

步骤4. 同步来源配置：用于设置需要同步的LDAP服务器的OU的相关信息。

LDAP服务器：用于设置需要同步的LDAP服务器，此处选择的服务器即为步骤一中设置的服务器。

从以下远程目标同步：用于指定需要同步LDAP服务器中哪些OU，点击<选择>，在窗口[组织结构选择]中选择需要同步的OU。选择完成后点击<确定>。

勾选从远程目标的根节点开始创建本地组织结构：表示LDAP中的根域名也会以组的形式同步过来，且同步的OU都是它的子组。

勾选从远程目标的当前选中节点开始创建本地组织结构：表示同步从所选的OU开始同步。

勾选从远程目标的当前选中节点的子节点开始创建本地组织结构：表示同步从所选OU的子OU开始同步，所选OU和所选OU的直属用户此时都不会同步到设备上。

导入OU的最大深度：用于设置导入的OU深度，此处设置的是10，表示从所选OU开始同步的话，它的9级子OU都能以用户组同步到设备，但是9级以下的OU不会以用户组同步到设备了，9级以下OU的用户还是可以同步到设备的，这些用户同步过来是属于第9级OU的。

过滤参数：用于设置同步的过滤参数。

步骤5. [同步目标配置]：用于设置导入方式、同步的OU和用户被放置在设备组织结构的什么位置，并且可以设置同步用户的属性。

导入方式：用于选择同步时是否同步OU和用户，根据需求进行选择。

同步LDAP的OU组织结构和用户到本地：表示将OU作为用户组同步到设备上，同时将OU中的用户同步到OU对应的用户组下。

同步LDAP的用户到本地，忽略OU组织结构：表示将OU中的用户同步到设备上，但不同步OU。

同步LDAP的OU组织结构到本地，不导入用户：表示只将OU作为用户组同步到设备上，但不同步OU中的用户。此例中应该选择第一项，即同时同步OU和用户。

同步到本地的用户默认允许多人同时使用该账号登录：表示同步到设备的域账号默认是公用账号，即同一账号能够在多台计算机上登录，不勾选此项则表示用户是私有账号，只能同时在一台计算机上登录。

将远程目标导入到以下位置：用于指定设备中已有的一个组，同步过来的OU都会成为此处所选组的子组。在[组织结构选择]窗口选择相应的组，选择完成点击<确定>。

步骤6.设置完同步策略，点击<确定>，添加策略完成。在[LDAP自动同步]页面查看添加的同步策略，点击<立即同步>可以立即进行同步，或等到自动一天一次进行同步。

步骤7.点击立即同步后，查看同步的结果，[用户管理/组/用户]中查看[组织结构]，如下图所示。此时导入的OU和用户同LDAP服务器中的完全一致。

当同步的OU或者用户同设备中已有的用户组或者用户同名时，LDAP中的OU或用户无法同步到设备。

删除同步策略

当某些同步策略没用的时候，可以将同步策略删除，点击进入[LDAP同步]页面。勾选需要删除的同步策略，点击<删除>即可。同步策略删除不会影响之前已经同步到设备上的组和用户。

查看同步报告

设备在每一次进行LDAP同步时，都会产生一份同步报告，便于您查看同步的情况。点击<查看同步报告>，在[同步报告]页面选择需要查看的同步报告，下载后即可查看。