Control de la sincronización de contraseña para cuentas de usuario

Para controlar las contraseñas de usuario que se sincronizarán, puede crear dos grupos de usuarios locales: PasswordPropAllow y PasswordPropDeny. Use Usuarios y equipos de Active Directory para crear los dos grupos.

En el grupo PasswordPropAllow, agregue los nombres de usuario para los que se sincronizarán contraseñas. En el grupo PasswordPropDeny, agregue los nombres de usuario para los que no se sincronizarán contraseñas.

Las contraseñas se sincronizarán para los usuarios que están en PasswordPropAllow y no en PasswordPropDeny.

Si PasswordPropAllow no existe, el efecto será el mismo que si existiera e incluyera todos los nombres de usuario. Si PasswordPropDeny no existe, el efecto será el mismo que si existiera y no incluyera ningún nombre de usuario.

Las reglas se aplican a la sincronización de Windows a UNIX y de UNIX a Windows. Si la contraseña de un usuario no se puede sincronizar de Windows a UNIX, tampoco se podrá sincronizar de UNIX a Windows.

Puede asegurarse de que las contraseñas de determinados usuarios nunca se sincronicen aun en el caso de que la sincronización esté permitida en el servidor de sincronización de contraseña. Para asegurarse de que una cuenta de usuario de UNIX nunca tenga su contraseña sincronizada con la contraseña de Windows, modifique el archivo sso.conf para incluir el nombre de usuario de la cuenta, precedido por el signo menos (–), a continuación de SYNC_USERS=. Por ejemplo, para establecer que la cuenta raíz nunca se sincronice con una cuenta de Windows con ese nombre, asegúrese de que la línea siguiente aparezca en sso.conf:

SYNC_USERS=–root

Para controlar la sincronización de contraseña para cuentas de usuario
  1. Abra Usuarios y equipos de Active Directory.

    Para abrir Usuarios y equipos de Active Directory, haga clic en inicio, elija Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

    También puede abrir Usuarios y equipos de Active Directory desde el Administrador del servidor, expandiendo Funciones y Servicios de dominio de Active Directory en el panel de jerarquías y, a continuación, seleccionando Usuarios y equipos de Active Directory.

  2. En el panel de jerarquías del complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario en Usuarios.

  3. Elija Nuevo y haga clic en Grupo.

  4. Asigne al grupo el nombre PasswordPropAllow.

  5. En el área Ámbito de grupo, seleccione Dominio local.

  6. En el área Tipo de grupo, seleccione Seguridad.

  7. Haga clic en Aceptar.

  8. Repita el procedimiento completo hasta el paso 7 para crear un segundo grupo, pero con el nombre PasswordPropDeny.

  9. En el panel de resultados, haga clic con el botón secundario en el nuevo grupo PasswordPropAllow y, a continuación, en Propiedades.

  10. En la ficha Miembros del cuadro de diálogo Propiedades de PasswordPropAllow, agregue los nombres de los usuarios para los que se sincronizarán contraseñas. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades cuando haya terminado de agregar nombres.

  11. En la ficha Miembros del cuadro de diálogo Propiedades de PasswordPropDeny, agregue los nombres de los usuarios para los que no se sincronizarán contraseñas. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades cuando haya terminado de agregar nombres.

Nota

Para este procedimiento no existe ningún método de línea de comandos.

Referencias adicionales


Tabla de contenido