Kontrolowanie synchronizacji haseł dla kont użytkowników

Można określać użytkowników, których hasła mają być synchronizowane, tworząc dwie lokalne grupy użytkowników: PasswordPropAllow i PasswordPropDeny. Aby utworzyć te dwie grupy, należy użyć przystawki Użytkownicy i komputery usługi Active Directory.

Do grupy PasswordPropAllow należy dodać nazwy użytkowników, których hasła mają być synchronizowane. Do grupy PasswordPropDeny należy dodać nazwy użytkowników, których hasła nie mają być synchronizowane.

Hasła będą synchronizowane dla użytkowników, którzy są w grupie PasswordPropAllow i nie są w grupie PasswordPropDeny.

Jeśli grupa PasswordPropAllow nie istnieje, rezultat będzie taki sam jak w sytuacji, gdyby ta grupa istniała i zawierała nazwy wszystkich użytkowników. Jeśli grupa PasswordPropDeny nie istnieje, rezultat będzie taki sam jak w sytuacji, gdyby ta grupa istniała i nie zawierała nazw żadnych użytkowników.

Te reguły dotyczą synchronizacji z systemu Windows do systemu UNIX i synchronizacji z systemu UNIX do systemu Windows. Jeśli nie można synchronizować hasła użytkownika z systemu Windows do systemu UNIX, nie można też synchronizować tego hasła z systemu UNIX do systemu Windows.

Można zagwarantować, że hasła określonych użytkowników nie będą nigdy synchronizowane nawet w sytuacji, gdy serwer synchronizacji haseł zezwala na synchronizację. Aby zagwarantować, że hasło konta użytkownika systemu UNIX nigdy nie będzie synchronizowane z hasłem konta systemu Windows, należy edytować plik sso.conf, aby umieścić w nim nazwę użytkownika konta poprzedzoną znakiem minus (-) po wpisie SYNC_USERS=. Aby na przykład zagwarantować, że hasło konta administratora nigdy nie będzie synchronizowane z jego kontem systemu Windows, należy umieścić w pliku sso.conf poniższy wiersz:

SYNC_USERS=–root

Aby kontrolować synchronizację haseł dla kont użytkowników
  1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

    Aby otworzyć przystawkę Użytkownicy i komputery usługi Active Directory, kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.

    Przystawkę Użytkownicy i komputery usługi Active Directory możesz też otworzyć z poziomu programu Menedżer serwera, rozwijając w okienku hierarchii węzeł Role, rozwijając węzeł Usługi domenowe w usłudze Active Directory, a następnie wybierając pozycję Użytkownicy i komputery usługi Active Directory.

  2. W okienku hierarchii przystawki Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem myszy pozycję Użytkownicy.

  3. Wskaż polecenie Nowy, a następnie kliknij polecenie Grupa.

  4. Nadaj grupie nazwę PasswordPropAllow.

  5. W obszarze Zakres grupy wybierz pozycję Lokalna w domenie.

  6. W obszarze Typ grupy wybierz pozycję Zabezpieczenia.

  7. Kliknij przycisk OK.

  8. Powtórz całą procedurę do kroku 7, aby utworzyć drugą grupę, ale nadaj tej drugiej grupie nazwę PasswordPropDeny.

  9. W okienku wyników kliknij prawym przyciskiem myszy nową grupę PasswordPropAllow, a następnie kliknij polecenie Właściwości.

  10. Na karcie Członkowie okna dialogowego Właściwości: PasswordPropAllow dodaj nazwy użytkowników, dla których hasła mają być synchronizowane. Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości po zakończeniu dodawania członków.

  11. Na karcie Członkowie okna dialogowego Właściwości: PasswordPropDeny dodaj nazwy użytkowników, dla których hasła nie mają być synchronizowane. Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości po zakończeniu dodawania członków.

Uwaga

Nie można wykonać tej procedury za pomocą wiersza polecenia.

Dodatkowe informacje