Wachtwoordsynchronisatie voor gebruikersaccounts beheren

U kunt bepalen welke gebruikerswachtwoorden er worden gesynchroniseerd door twee lokale gebruikersgroepen te maken: PasswordPropAllow en PasswordPropDeny. (U kunt voor het maken van deze twee groepen Active Directory - gebruikers en computers gebruiken).

Voeg gebruikersnamen waarvoor u wachtwoorden wilt synchroniseren toe aan de groep PasswordPropAllow. Voeg gebruikersnamen waarvoor u geen wachtwoorden wilt synchroniseren toe aan de groep PasswordPropDeny.

Er worden vervolgens wachtwoorden gesynchroniseerd voor gebruikers die zich wel in de groep PasswordPropAllow en die zich niet in de groep PasswordPropDeny bevinden.

Als PasswordPropAllow niet bestaat, leidt dit tot hetzelfde resultaat als wanneer de groep wel zou bestaan en alle gebruikersnamen zou bevatten. Als PasswordPropDeny niet bestaat, leidt dit tot hetzelfde resultaat als wanneer de groep wel zou bestaan en geen gebruikersnamen zou bevatten.

Deze regels zijn van toepassing op de wachtwoordsynchronisatie van Windows naar UNIX en van UNIX naar Windows. Als een gebruikerswachtwoord niet van Windows naar UNIX kan worden gesynchroniseerd, kan dit ook niet van UNIX naar Windows worden gesynchroniseerd.

U kunt tevens instellen dat de wachtwoorden van bepaalde gebruikers nooit worden gesynchroniseerd, waarbij deze zelfs niet worden gesynchroniseerd in gevallen waarin synchronisatie door de Wachtwoordsynchronisatie-server is toegestaan. Als u ervoor wilt zorgen dat het wachtwoord van een UNIX-gebruikersaccount nooit wordt gesynchroniseerd met het Windows-wachtwoord, bewerkt u het bestand sso.conf. Hierbij plaatst u de gebruikersnaam van het account, voorafgegaan door een minteken (–), na SYNC_USERS=. Voeg de volgende regel toe aan het bestand sso.conf als u er bijvoorbeeld voor wilt zorgen dat het wachtwoord van het hoofdaccount nooit wordt gesynchroniseerd met een Windows-account met dezelfde naam:

SYNC_USERS=–root

Wachtwoordsynchronisatie voor gebruikersaccounts beheren
  1. Open Active Directory - gebruikers en computers.

    Klik op Start, wijs Beheerprogramma's aan en klik op Active Directory - gebruikers en computers om Active Directory - gebruikers en computers te openen.

    U kunt Active Directory - gebruikers en computers ook openen vanuit Serverbeheer. Vouw hiertoe in het hiërarchievenster het item Rollen uit, vouw het item Active Directory Domain Services uit en selecteer vervolgens Active Directory - gebruikers en computers.

  2. Klik in het hiërarchievenster van de module Active Directory - gebruikers en computers met de rechtermuisknop op Gebruikers.

  3. Wijs Nieuw aan en klik vervolgens op Groep.

  4. Noem de groep PasswordPropAllow.

  5. Selecteer in de sectie Groepsbereik de optie Domeingebonden.

  6. Selecteer in de sectie Groepstype de optie Beveiliging.

  7. Klik op OK.

  8. Herhaal de gehele procedure tot en met stap 7 om een tweede groep te maken. Deze groep noemt u echter PasswordPropDeny.

  9. Klik in het resultatenvenster met de rechtermuisknop op de nieuwe groep PasswordPropAllow en klik op Eigenschappen.

  10. Voeg op het tabblad Leden van het dialoogvenster Eigenschappen van PasswordPropAllow de namen toe van gebruikers van wie u wachtwoorden wilt synchroniseren. Klik zodra u klaar bent op OK om het dialoogvenster Eigenschappen te sluiten.

  11. Voeg op het tabblad Leden van het dialoogvenster Eigenschappen van PasswordPropDeny de namen toe van gebruikers van wie u wachtwoorden niet wilt synchroniseren. Klik zodra u klaar bent op OK om het dialoogvenster Eigenschappen te sluiten.

Opmerking

Er bestaat geen opdrachtregelopdracht voor deze procedure.

Aanvullende naslaginformatie