ユーザー アカウントに対するパスワード同期を制御する

PasswordPropAllow および PasswordPropDeny という 2 つのローカル ユーザー グループを作成することにより、どのユーザーのパスワードを同期するかを制御できます(2 つのグループを作成するには、[Active Directory ユーザーとコンピューター] を使用します)。

PasswordPropAllow グループには、パスワードを同期するユーザー名を追加します。PasswordPropDeny グループには、パスワードを同期しないユーザー名を追加します。

PasswordPropAllow 内のユーザーに対してはパスワードが同期され、PasswordPropDeny 内のユーザーに対しては同期されません。

PasswordPropAllow が存在しない場合は、すべてのユーザー名が含まれた PasswordPropAllow ファイルが存在することと同じ結果になります。PasswordPropDeny が存在しない場合、ユーザー名がまったく含まれていない PasswordPropDeny ファイルが存在することと同じ結果になります。

これらの規則は、Windows から UNIX、および UNIX から Windows への同期に適用されます。あるユーザーのパスワードを Windows から UNIX に同期することができない場合、UNIX から Windows へも同期できません。

パスワード同期サーバーで同期がが許可されている場合でも、特定のユーザーに対するパスワードを同期しないように設定できます。ある UNIX ユーザー アカウントのパスワードを Windows パスワードと同期しないようにするには、sso.conf ファイルを編集し、SYNC_USERS= に続けて、そのアカウントのユーザー名前を頭にマイナス記号 (-) を付けて追加します。たとえば root アカウントのパスワードを、名前に基づいて Windows アカウントと同期しないように設定するには、sso.conf に次の行を指定します。

SYNC_USERS=-root

ユーザー アカウントに対するパスワード同期を制御するには
  1. [Active Directory ユーザーとコンピューター] を開きます。

    [Active Directory ユーザーとコンピューター] を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピューター] をクリックします。

    また、サーバー マネージャーで [役割] を展開し、階層ウィンドウで [Active Directory ドメイン サービス] を展開し、[Active Directory ユーザーとコンピューター] を選択することで [Active Directory ユーザーとコンピューター] を開くこともできます。

  2. [Active Directory ユーザーとコンピューター] スナップインの階層ウィンドウで、[ユーザー] を右クリックします。

  3. [新規作成] をポイントし、[グループ] をクリックします。

  4. グループに PasswordPropAllow という名前を付けます。

  5. [グループのスコープ] 領域で、[ドメイン ローカル] を選択します。

  6. [グループの種類] 領域で、[セキュリティ] を選択します。

  7. [OK] をクリックします。

  8. 7 までの手順全体を繰り返し、2 つ目のグループを作成します。ただし、グループ名は PasswordPropDeny にします。

  9. 結果ウィンドウで、新しい PasswordPropAllow グループを右クリックし、[プロパティ] をクリックします。

  10. [PasswordPropAllow のプロパティ] ダイアログ ボックスの [メンバー] タブで、パスワードを同期するユーザーの名前を追加します。追加を終えたら、[OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。

  11. [PasswordPropDeny のプロパティ] ダイアログ ボックスの [メンバー] タブで、パスワードを同期しないユーザーの名前を追加します。追加を終えたら、[OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。

この手順には、コマンド ラインの操作はありません。

その他の参照情報