Contrôle de la synchronisation de mot de passe des comptes d’utilisateurs

Vous pouvez définir quels mots de passe utilisateur sont synchronisés en créant deux groupes d’utilisateurs locaux : PasswordPropAllow et PasswordPropDeny. (Utilisez Utilisateurs et ordinateurs Active Directory pour créer les deux groupes).

Dans le groupe PasswordPropAllow, ajoutez les noms des utilisateurs dont les mots de passe doivent être synchronisés. Dans le groupe PasswordPropDeny, ajoutez les noms des utilisateurs dont les mots de passe ne doivent pas être synchronisés.

Les mots de passe sont synchronisés pour les utilisateurs du groupe PasswordPropAllow mais pas pour les utilisateurs du groupe PasswordPropDeny.

Si le groupe PasswordPropAllow n’existe pas, l’effet est le même que s’il contenait les noms de tous les utilisateurs. Si le groupe PasswordPropDeny n’existe pas, l’effet est le même que s’il était complètement vide.

Ces règles s’appliquent à la synchronisation de Windows vers UNIX et d’UNIX vers Windows. S’il n’est pas possible de synchroniser un mot de passe de Windows vers UNIX, la synchronisation n’est pas possible non plus d’UNIX vers Windows.

Vous pouvez faire en sorte que les mots de passe de certains utilisateurs ne soient jamais synchronisés, même si la synchronisation est autorisée par le serveur de synchronisation de mot de passe. Pour garantir que le mot de passe d’un compte d’utilisateur UNIX ne sera jamais synchronisé avec le mot de passe Windows, modifiez le fichier sso.conf pour y placer le nom d’utilisateur de ce compte, précédé d’un signe moins (–), après SYNC_USERS=. Par exemple, pour que le mot de passe du compte racine ne soit jamais synchronisé avec un compte Windows du même nom, assurez-vous que la ligne suivante figure dans sso.conf :

SYNC_USERS=–root

Pour contrôler la synchronisation de mot de passe des comptes d’utilisateurs
  1. Ouvrez le composant Utilisateurs et ordinateurs Active Directory.

    Pour ouvrir Utilisateurs et ordinateurs Active Directory, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.

    Vous pouvez aussi ouvrir Utilisateurs et ordinateurs Active Directory à partir du Gestionnaire de serveur, en développant Rôles puis Services de domaine Active Directory dans le volet de hiérarchie et en sélectionnant Utilisateurs et ordinateurs Active Directory.

  2. Dans le volet de hiérarchie du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur Utilisateurs.

  3. Pointez sur Nouveau, puis cliquez sur Groupe.

  4. Nommez le groupe PasswordPropAllow.

  5. Dans la zone Étendue du groupe, sélectionnez Domaine local.

  6. Dans la zone Type de groupe, sélectionnez Sécurité.

  7. Cliquez sur OK.

  8. Répétez la totalité de la procédure jusqu’à l’étape 7 pour créer un second groupe, mais nommez le second groupe PasswordPropDeny.

  9. Dans le volet de résultats, cliquez avec le bouton droit sur le nouveau groupe PasswordPropAllow, puis cliquez sur Propriétés.

  10. Sous l’onglet Membres de la boîte de dialogue Propriétés de PasswordPropAllow, ajoutez les noms des utilisateurs dont les mots de passe doivent être synchronisés. Cliquez sur OK pour fermer la boîte de dialogue Propriétés une fois vos ajouts terminés.

  11. Sous l’onglet Membres de la boîte de dialogue Propriétés de PasswordPropDeny, ajoutez les noms des utilisateurs dont les mots de passe ne doivent pas être synchronisés. Cliquez sur OK pour fermer la boîte de dialogue Propriétés une fois vos ajouts terminés.

Remarques

Il n’existe pas de méthode via la ligne de commande pour cette procédure.

Références supplémentaires


Table des matières