控制使用者帳戶的密碼同步化
您可以藉由建立兩個本機使用者群組 PasswordPropAllow 及 PasswordPropDeny,來控制要同步哪些使用者的密碼 (請使用 [Active Directory 使用者和電腦] 建立這兩個群組)。
在 PasswordPropAllow 群組中,加入要同步處理其密碼的使用者名稱。在 PasswordPropDeny 群組中,加入不要同步處理其密碼的使用者名稱。
位於 PasswordPropAllow 中以及不在 PasswordPropDeny 中的使用者,系統會同步處理其密碼。
PasswordPropAllow 不存在的效果,與此群組存在且包含所有使用者名稱的效果相同。而 PasswordPropDeny 不存在的效果,則與此群組存在且未包含任何使用者名稱的效果相同。
上述規則適用於從 Windows 同步處理至 UNIX,以及從 UNIX 同步處理至 Windows。若某個使用者的密碼無法從 Windows 同步處理至 UNIX,則它也無法從 UNIX 同步處理至 Windows。
您可以確保特定使用者的密碼永不進行同步處理,即使同步處理是由密碼同步化伺服器允許的也一樣。若要確保某個 UNIX 使用者帳戶的密碼永遠不會與 Windows 密碼同步化,請編輯 sso.conf 檔案,在 SYNC_USERS= 後面加上減號 (–) 以及該帳戶的使用者名稱。例如,若要確保 root 帳戶的密碼永遠不跟 Windows 中該名稱帳戶的密碼同步化,請確定在 sso.conf 中加入下面這行:
SYNC_USERS=–root
控制使用者帳戶的密碼同步化 |
開啟 [Active Directory 使用者和電腦]。
如果要開啟 [Active Directory 使用者和電腦],請按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory 使用者和電腦]。
您也可以從伺服器管理員內開啟 [Active Directory 使用者和電腦],方法是展開階層窗格中的 [角色] 及 [Active Directory 網域服務],然後選取 [Active Directory 使用者和電腦]。
在 [Active Directory 使用者和電腦] 嵌入式管理單元的階層窗格中,在 [使用者] 上按一下滑鼠右鍵。
指向 [新增],然後按一下 [群組]。
為 PasswordPropAllow 群組命名。
在 [群組領域] 區域中,選取 [網域本機]。
在 [群組類型] 區域中,選取 [安全性]。
按一下 [確定]。
重複步驟 7 前的整個程序以建立第二個群組,但是將第二個群組命名為 PasswordPropDeny。
在結果窗格中,在新增的 PasswordPropAllow 群組上按一下滑鼠右鍵,再按一下 [內容]。
在 [PasswordPropAllow 內容] 對話方塊的 [成員] 索引標籤上,新增應同步處理其密碼的使用者名稱。新增完成後,按一下 [確定] 關閉 [內容] 對話方塊。
在 [PasswordPropDeny 內容] 對話方塊的 [成員] 索引標籤上,新增不應同步處理其密碼的使用者名稱。新增完成後,按一下 [確定] 關閉 [內容] 對話方塊。
附註 | |
此程序沒有適用的命令列方法。 |