Controlar a sincronização de palavra-passe para contas de utilizador

É possível controlar que palavras-passe dos utilizadores são sincronizadas, criando dois grupos de utilizadores locais: PasswordPropAllow e PasswordPropDeny. (Utilize Utilizadores e Computadores do Active Directory para criar os dois grupos.)

No grupo PasswordPropAllow, adicione os nomes de utilizador para os quais as palavras-passe devem ser sincronizadas. No grupo PasswordPropDeny, adicione os nomes de utilizador para os quais as palavras-passe não devem ser sincronizadas.

As palavras-passe são sincronizadas para os utilizadores que estão no grupo PasswordPropAllow e não no grupo PasswordPropDeny.

Se PasswordPropAllow não existir, o efeito é o mesmo que se existir e contiver todos os nomes de utilizador. Se PasswordPropDeny não existir, o efeito é o mesmo que se existir e não contiver todos os nomes de utilizador.

Estas regras aplicam-se à sincronização do Windows para UNIX e de UNIX para Windows. Se a palavra-passe de um utilizador não puder ser sincronizada do Windows para UNIX, não pode ser sincronizada de UNIX para Windows.

É possível garantir que as palavras-passe de certos utilizadores nunca são sincronizadas, mesmo que a sincronização seja permitida pelo servidor de Sincronização de Palavra-passe. Para garantir que a palavra-passe de uma conta de utilizador UNIX nunca é sincronizada com a palavra-passe do Windows, edite o ficheiro sso.conf para colocar o nome de utilizador da conta, precedido por um sinal de menos (-), após SYNC_USERS=. Por exemplo, para garantir que a palavra-passe da conta raiz nunca é sincronizada com uma conta do Windows com o mesmo nome, certifique-se de que a seguinte linha se encontra em sso.conf:

SYNC_USERS=–root

Para controlar a sincronização de palavra-passe para contas de utilizador
  1. Abra Utilizadores e Computadores do Active Directory.

    Para abrir Utilizadores e Computadores do Active Directory, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Utilizadores e Computadores do Active Directory.

    Pode também abrir Utilizadores e Computadores do Active Directory a partir de Gestor de servidor, expandindo Funções e, em seguida, Serviços do Domínio do Active Directory no painel de hierarquias e, em seguida, seleccionando Utilizadores e Computadores do Active Directory.

  2. No painel de hierarquia do snap-in Utilizadores e Computadores do Active Directory, clique com o botão direito do rato em Utilizadores.

  3. Aponte para Novo e, em seguida, clique em Grupo.

  4. Atribua ao grupo o nome PasswordPropAllow.

  5. Na área Âmbito do grupo, seleccione Local de domínio.

  6. Na área Tipo de grupo, seleccione Segurança.

  7. Clique em OK.

  8. Repita todo o processo até ao Passo 7 para criar um segundo grupo, mas atribua-lhe o nome PasswordPropDeny.

  9. No painel de resultados, clique com o botão direito do rato no grupo PasswordPropAllow e, em seguida, clique em Propriedades.

  10. No separador Membros da caixa de diálogo Propriedades de PasswordPropAllow, adicione os nomes dos utilizadores para os quais as palavras-passe devem ser sincronizadas. Clique em OK para fechar a caixa de diálogo Propriedades quando tiver terminado de adicionar nomes de utilizadores.

  11. No separador Membros da caixa de diálogo Propriedades de PasswordPropDeny, adicione os nomes dos utilizadores para os quais as palavras-passe não devem ser sincronizadas. Clique em OK para fechar a caixa de diálogo Propriedades quando tiver terminado de adicionar nomes de utilizadores.

Nota

Não existe método da linha de comandos para este procedimento.

Referências adicionais