Steuern der Kennwortsynchronisierung für Benutzerkonten

Sie können steuern, welche Benutzerkennwörter synchronisiert werden, indem Sie zwei lokale Benutzergruppen erstellen: PasswordPropAllow und PasswordPropDeny. (Erstellen Sie die beiden Gruppen mithilfe von Active Directory-Benutzer und -Computer.)

Fügen Sie der Gruppe PasswordPropAllow die Namen der Benutzer, für die Kennwörter synchronisiert werden sollen, hinzu. Fügen Sie der Gruppe PasswordPropDeny die Namen der Benutzer hinzu, deren Kennwörter nicht synchronisiert werden sollen.

Kennwörter werden für die Benutzer synchronisiert, die der Gruppe PasswordPropAllow und nicht der Gruppe PasswordPropDeny angehören.

Ist PasswordPropAllow nicht vorhanden, hat das die gleichen Auswirkungen, als wäre die Gruppe vorhanden und alle Benutzernamen darin aufgenommen. Ist PasswordPropDeny nicht vorhanden, hat das die gleichen Auswirkungen, als wäre die Gruppe vorhanden, aber keine Benutzernamen darin aufgenommen.

Diese Regeln gelten für die Synchronisierung von Windows zu UNIX und von UNIX zu Windows. Wenn das Kennwort eines Benutzers nicht von Windows zu UNIX synchronisiert werden kann, kann es auch nicht von UNIX zu Windows synchronisiert werden.

Sie können sicherstellen, dass die Kennwörter für bestimmte Benutzer nie synchronisiert werden, selbst wenn die Synchronisierung vom Server für die Kennwortsynchronisierung zugelassen wird. Wenn Sie sicherstellen möchten, dass für ein UNIX-Benutzerkonto nie eine Kennwortsynchronisierung mit dem Windows-Kennwort stattfindet, bearbeiten Sie die Datei sso.conf. Setzen Sie dabei nach SYNC_USERS= vor dem Benutzernamen für das Konto ein Minuszeichen (-). Wenn Sie z. B. sicherstellen möchten, dass das Kennwort für das Konto root nie mit einem gleichnamigen Windows-Konto synchronisiert wird, stellen Sie sicher, dass die Datei sso.conf folgende Zeile enthält:

SYNC_USERS=–root

So steuern Sie die Kennwortsynchronisierung für Benutzerkonten

  1. Öffnen Sie Active Directory-Benutzer und -Computer.

    Klicken Sie zum Öffnen von Active Directory-Benutzer und -Computer auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

    Sie können Active Directory-Benutzer und -Computer auch direkt in Server-Manager öffnen. Erweitern Sie dazu im Hierarchiefenster Rollen und Active Directory-Domänendienste, und wählen Sie dann Active Directory-Benutzer und -Computer aus.

  2. Klicken Sie im Hierarchiebereich des Snap-Ins Active Directory-Benutzer und -Computer mit der rechten Maustaste auf Benutzer.

  3. Zeigen Sie auf Neu, und klicken Sie dann auf Gruppe.

  4. Geben Sie der Gruppe den Namen PasswordPropAllow.

  5. Wählen Sie im Bereich Gruppenbereich die Option Lokal (in Domäne) aus.

  6. Wählen Sie im Bereich Gruppentyp die Option Sicherheit aus.

  7. Klicken Sie auf OK.

  8. Wiederholen Sie das gesamte Verfahren bis zu Schritt 7, um eine zweite Gruppe zu erstellen. Geben Sie der zweiten Gruppe jedoch den Namen PasswordPropDeny.

  9. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die neue Gruppe PasswordPropAllow, und klicken Sie dann auf Eigenschaften.

  10. Fügen Sie auf der Registerkarte Mitglieder des Dialogfelds Eigenschaften von PasswordPropAllow die Namen der Benutzer hinzu, deren Kennwörter synchronisiert werden sollen. Wenn Sie fertig sind, klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

  11. Fügen Sie auf der Registerkarte Mitglieder des Dialogfelds Eigenschaften von PasswordPropDeny die Namen der Benutzer hinzu, deren Kennwörter nicht synchronisiert werden sollen. Wenn Sie fertig sind, klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.
Hinweis

Für dieses Verfahren stehen keine Methoden auf Befehlszeilenebene zur Verfügung.

Weitere Verweise

Inhaltsverzeichnis