Styra lösenordssynkronisering för användarkonton

Du kan styra vilka användarlösenord som ska synkroniseras genom att skapa två lokala användargrupper: PasswordPropAllow och PasswordPropDeny. (Använd Active Directory – användare och datorer för att skapa grupperna.)

I gruppen PasswordPropAllow lägger du till de användarnamn vars lösenord ska synkroniseras. I gruppen PasswordPropDeny lägger du till de användarnamn vars lösenord inte ska synkroniseras.

Lösenorden synkroniseras för användare i PasswordPropAllow och inte i PasswordPropDeny.

Om PasswordPropAllow inte finns är effekten densamma som om den skulle finnas och innehålla alla användarnamn. Om PasswordPropDeny inte finns är effekten densamma som om den skulle finnas utan några användarnamn.

Reglerna gäller synkronisering från Windows till UNIX och från UNIX till Windows. Om en användares lösenord inte kan synkroniseras från Windows till UNIX kan det inte heller synkroniseras från UNIX till Windows.

Du kan se till att lösenorden för vissa användare aldrig synkroniseras, även om synkronisering tillåts av servern för Lösenordssynkronisering. Om du inte vill att ett lösenord för ett UNIX-användarkonto ska synkroniseras med Windows-lösenordet redigerar du filen sso.conf och lägger till användarnamnet för kontot, med ett minustecken (-) framför, efter SYNC_USERS=. Om du till exempel vill säkerställa att lösenordet för rotkontot aldrig synkroniseras med ett Windows-konto med det namnet ser du till att följande rad visas i sso.conf:

SYNC_USERS=–root

Så här styr du lösenordssynkronisering för användarkonton
  1. Öppna Active Directory – användare och datorer.

    Du öppnar Active Directory – användare och datorer genom att klicka på Start, peka på Administrationsverktyg och klicka på Active Directory – användare och datorer.

    Du kan också öppna Active Directory – användare och datorer från Serverhanteraren genom att expandera Roller och sedan Active Directory Domain Services i hierarkifönstret och välja Active Directory – användare och datorer.

  2. I hierarkifönstret i snapin-modulen Active Directory – användare och datorer högerklickar du på Användare.

  3. Peka på Ny och klicka sedan på Grupp.

  4. Namnge gruppen PasswordPropAllow.

  5. Under Gruppdefinitionsområde väljer du Domänlokalt.

  6. Under Grupptyp väljer du Säkerhet.

  7. Klicka på OK.

  8. Skapa en andra grupp med namnet PasswordPropDeny genom att upprepa hela processen till och med steg 7.

  9. I resultatfönstret högerklickar du på den nya PasswordPropAllow-gruppen och klickar sedan på Egenskaper.

  10. På fliken Medlemmar i dialogrutan PasswordPropAllow-egenskaper lägger du till namnen på användare vars lösenord ska synkroniseras. Klicka på OK för att stänga dialogrutan Egenskaper när du är klar.

  11. På fliken Medlemmar i dialogrutan PasswordPropDeny-egenskaper lägger du till namnen på användare vars lösenord inte ska synkroniseras. Klicka på OK för att stänga dialogrutan Egenskaper när du är klar.

OBS

Det finns inget kommandoradsalternativ för den här proceduren.

Övriga referenser


Innehåll