控制用户帐户的密码同步

可以通过创建下列两个本地用户组来控制要同步的用户密码:PasswordPropAllowPasswordPropDeny。(使用“Active Directory 用户和计算机”来创建两个组。)

在 PasswordPropAllow 组中,添加应同步其密码的用户名。在 PasswordPropDeny 组中,添加不应同步其密码的用户名。

将为在 PasswordPropAllow 中并且不在 PasswordPropDeny 中的用户同步密码。

如果 PasswordPropAllow 不存在,结果与 PasswordPropAllow 中包含所有用户名相同。如果 PasswordPropDeny 不存在,结果与 PasswordPropDeny 中没有任何用户名相同。

这些规则适用于从 Windows 到 UNIX 的同步以及从 UNIX 到 Windows 的同步。如果无法从 Windows 到 UNIX 同步用户的密码,则无法从 UNIX 到 Windows 同步用户的密码。

您可以确保某些用户的密码永远不进行同步,即使“密码同步”服务器允许同步也是如此。若要确保某个 UNIX 用户帐户永远不会使其密码与 Windows 密码进行同步,编辑 sso.conf 文件,将前面带有减号的帐户用户名添加到 SYNC_USERS= 后面。例如,若要确保 root 帐户的密码永远不会与同名的 Windows 帐户进行同步,则确保 sso.conf 中出现以下行:

SYNC_USERS=–root

若要控制用户帐户的密码同步,请执行下列操作:
  1. 打开“Active Directory 用户和计算机”。

    若要打开“Active Directory 用户和计算机”,请单击「开始」,指向“管理工具”,然后单击“Active Directory 用户和计算机”

    还可以从 服务器管理器 中,通过在层次结构窗格中依次展开“角色”“Active Directory 域服务”,并选择“Active Directory 用户和计算机”,打开“Active Directory 用户和计算机”。

  2. “Active Directory 用户和计算机”管理单元的层次结构窗格中,右键单击“用户”

  3. 指向“新建”,然后单击“组”

  4. 将该组命名为 PasswordPropAllow

  5. “组作用域”区域,选择“域本地”

  6. “组类型”区域,选择“安全性”

  7. 单击“确定”

  8. 重复整个过程,直到步骤 7,以创建第二个组,但是将第二个组命名为 PasswordPropDeny

  9. 在结果窗格中,右键单击新的 PasswordPropAllow 组,然后单击“属性”。

  10. “PasswordPropAllow 属性”对话框的“成员”选项卡上,添加应同步其密码的用户名。添加完成后,单击“确定”关闭“属性”对话框。

  11. “PasswordPropDeny 属性”对话框的“成员”选项卡上,添加不应同步其密码的用户名。添加完成后,单击“确定”关闭“属性”对话框。

注意

此过程没有命令行方法。

其他参考