Управление синхронизацией паролей для учетных записей пользователей

Чтобы указать, чьи пароли должны синхронизироваться, а чьи нет, можно создать две локальные группы пользователей: PasswordPropAllow и PasswordPropDeny. (Для создания этих двух групп используйте оснастку Active Directory - пользователи и компьютеры.)

В группу PasswordPropAllow добавьте имена пользователей, чьи пароли должны синхронизироваться, а в группу PasswordPropDeny - имена пользователей, чьи пароли не должны синхронизироваться.

Синхронизация паролей выполняется для группы PasswordPropAllow и не выполняется для группы PasswordPropDeny.

Если группы PasswordPropAllow не существует, эффект будет таким же, как если бы она существовала и в ней были указаны все пользователи. Если группы PasswordPropDeny не существует, эффект будет таким же, как если бы она существовала и в ней не были указаны пользователи.

Эти правила применяются к синхронизации из Windows в UNIX и из UNIX в Windows. Если пароль пользователя не может быть синхронизирован из Windows в UNIX, он также не может быть синхронизирован и из UNIX в Windows.

Можно сделать так, чтобы для определенных пользователей не выполнялась синхронизация паролей, даже если она разрешена сервером синхронизации паролей. Чтобы пароль учетной записи пользователя UNIX никогда не синхронизировался с паролем Windows, необходимо в файле sso.conf указать после параметра SYNC_USERS= перед именем этой учетной записи пользователя знак минус (-). Например, чтобы пароль учетной записи root никогда не синхронизировался с учетной записью Windows, имеющей это имя, укажите в файле sso.conf следующую строку:

SYNC_USERS=–root

Управление синхронизацией паролей для учетных записей пользователей

  1. Откройте оснастку «Active Directory - пользователи и компьютеры».

    Чтобы ее открыть, нажмите кнопку Пуск, выберите команду Администрирование, а затем выберите пункт Active Directory - пользователи и компьютеры.

    Эту оснастку также можно открыть из окна Диспетчер серверов, развернув в панели иерархий узлы Роли и Доменные службы Active Directory, а затем выбрав пункт Active Directory - пользователи и компьютеры.

  2. На панели иерархий оснастки Active Directory - пользователи и компьютеры щелкните правой кнопкой мыши раздел Пользователи.

  3. Выберите команду Создать, затем - пункт Групповой.

  4. Присвойте группе имя PasswordPropAllow.

  5. В области Область действия группы выберите Локальная в домене.

  6. В области Тип группы выберите Безопасность.

  7. Нажмите кнопку ОК.

  8. Чтобы создать вторую группу, повторите всю процедуру до шага 7, но этой группе присвойте имя PasswordPropDeny.

  9. В области результатов щелкните правой кнопкой мыши группу PasswordPropAllow и выберите пункт «Свойства».

  10. В диалоговом окне Свойства PasswordPropAllow на вкладке Члены домена добавьте имена пользователей, чьи пароли должны синхронизироваться. Добавив все необходимые имена, нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.

  11. В диалоговом окне Свойства PasswordPropDeny на вкладке Члены домена добавьте имена пользователей, чьи пароли не должны синхронизироваться. Добавив все необходимые имена, нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.
Примечание

Эту процедуру нельзя выполнить с помощью командной строки.

Дополнительные источники информации

Содержание