控制使用者帳戶的密碼同步化

您可以藉由建立兩個本機使用者群組 PasswordPropAllowPasswordPropDeny,來控制要同步哪些使用者的密碼 (請使用 [Active Directory 使用者和電腦] 建立這兩個群組)。

在 PasswordPropAllow 群組中,加入要同步處理其密碼的使用者名稱。在 PasswordPropDeny 群組中,加入不要同步處理其密碼的使用者名稱。

位於 PasswordPropAllow 中以及不在 PasswordPropDeny 中的使用者,系統會同步處理其密碼。

PasswordPropAllow 不存在的效果,與此群組存在且包含所有使用者名稱的效果相同。而 PasswordPropDeny 不存在的效果,則與此群組存在且未包含任何使用者名稱的效果相同。

上述規則適用於從 Windows 同步處理至 UNIX,以及從 UNIX 同步處理至 Windows。若某個使用者的密碼無法從 Windows 同步處理至 UNIX,則它也無法從 UNIX 同步處理至 Windows。

您可以確保特定使用者的密碼永不進行同步處理,即使同步處理是由密碼同步化伺服器允許的也一樣。若要確保某個 UNIX 使用者帳戶的密碼永遠不會與 Windows 密碼同步化,請編輯 sso.conf 檔案,在 SYNC_USERS= 後面加上減號 (–) 以及該帳戶的使用者名稱。例如,若要確保 root 帳戶的密碼永遠不跟 Windows 中該名稱帳戶的密碼同步化,請確定在 sso.conf 中加入下面這行:

SYNC_USERS=–root

控制使用者帳戶的密碼同步化
  1. 開啟 [Active Directory 使用者和電腦]。

    如果要開啟 [Active Directory 使用者和電腦],請按一下 [開始],指向 [系統管理工具],然後按一下 [Active Directory 使用者和電腦]

    您也可以從伺服器管理員內開啟 [Active Directory 使用者和電腦],方法是展開階層窗格中的 [角色][Active Directory 網域服務],然後選取 [Active Directory 使用者和電腦]

  2. [Active Directory 使用者和電腦] 嵌入式管理單元的階層窗格中,在 [使用者] 上按一下滑鼠右鍵。

  3. 指向 [新增],然後按一下 [群組]

  4. PasswordPropAllow 群組命名。

  5. [群組領域] 區域中,選取 [網域本機]

  6. [群組類型] 區域中,選取 [安全性]

  7. 按一下 [確定]

  8. 重複步驟 7 前的整個程序以建立第二個群組,但是將第二個群組命名為 PasswordPropDeny

  9. 在結果窗格中,在新增的 PasswordPropAllow 群組上按一下滑鼠右鍵,再按一下 [內容]。

  10. [PasswordPropAllow 內容] 對話方塊的 [成員] 索引標籤上,新增應同步處理其密碼的使用者名稱。新增完成後,按一下 [確定] 關閉 [內容] 對話方塊。

  11. [PasswordPropDeny 內容] 對話方塊的 [成員] 索引標籤上,新增不應同步處理其密碼的使用者名稱。新增完成後,按一下 [確定] 關閉 [內容] 對話方塊。

附註

此程序沒有適用的命令列方法。

其他參考資料


目錄