ユーザー アカウントに対するパスワード同期を制御する
PasswordPropAllow および PasswordPropDeny という 2 つのローカル ユーザー グループを作成することにより、どのユーザーのパスワードを同期するかを制御できます(2 つのグループを作成するには、[Active Directory ユーザーとコンピューター] を使用します)。
PasswordPropAllow グループには、パスワードを同期するユーザー名を追加します。PasswordPropDeny グループには、パスワードを同期しないユーザー名を追加します。
PasswordPropAllow 内のユーザーに対してはパスワードが同期され、PasswordPropDeny 内のユーザーに対しては同期されません。
PasswordPropAllow が存在しない場合は、すべてのユーザー名が含まれた PasswordPropAllow ファイルが存在することと同じ結果になります。PasswordPropDeny が存在しない場合、ユーザー名がまったく含まれていない PasswordPropDeny ファイルが存在することと同じ結果になります。
これらの規則は、Windows から UNIX、および UNIX から Windows への同期に適用されます。あるユーザーのパスワードを Windows から UNIX に同期することができない場合、UNIX から Windows へも同期できません。
パスワード同期サーバーで同期がが許可されている場合でも、特定のユーザーに対するパスワードを同期しないように設定できます。ある UNIX ユーザー アカウントのパスワードを Windows パスワードと同期しないようにするには、sso.conf ファイルを編集し、SYNC_USERS= に続けて、そのアカウントのユーザー名前を頭にマイナス記号 (-) を付けて追加します。たとえば root アカウントのパスワードを、名前に基づいて Windows アカウントと同期しないように設定するには、sso.conf に次の行を指定します。
SYNC_USERS=-root
ユーザー アカウントに対するパスワード同期を制御するには |
[Active Directory ユーザーとコンピューター] を開きます。
[Active Directory ユーザーとコンピューター] を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ユーザーとコンピューター] をクリックします。
また、サーバー マネージャーで [役割] を展開し、階層ウィンドウで [Active Directory ドメイン サービス] を展開し、[Active Directory ユーザーとコンピューター] を選択することで [Active Directory ユーザーとコンピューター] を開くこともできます。
[Active Directory ユーザーとコンピューター] スナップインの階層ウィンドウで、[ユーザー] を右クリックします。
[新規作成] をポイントし、[グループ] をクリックします。
グループに PasswordPropAllow という名前を付けます。
[グループのスコープ] 領域で、[ドメイン ローカル] を選択します。
[グループの種類] 領域で、[セキュリティ] を選択します。
[OK] をクリックします。
7 までの手順全体を繰り返し、2 つ目のグループを作成します。ただし、グループ名は PasswordPropDeny にします。
結果ウィンドウで、新しい PasswordPropAllow グループを右クリックし、[プロパティ] をクリックします。
[PasswordPropAllow のプロパティ] ダイアログ ボックスの [メンバー] タブで、パスワードを同期するユーザーの名前を追加します。追加を終えたら、[OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。
[PasswordPropDeny のプロパティ] ダイアログ ボックスの [メンバー] タブで、パスワードを同期しないユーザーの名前を追加します。追加を終えたら、[OK] をクリックして [プロパティ] ダイアログ ボックスを閉じます。
注 | |
この手順には、コマンド ラインの操作はありません。 |