Управление синхронизацией паролей для учетных записей пользователей
Чтобы указать, чьи пароли должны синхронизироваться, а чьи нет, можно создать две локальные группы пользователей: PasswordPropAllow и PasswordPropDeny. (Для создания этих двух групп используйте оснастку Active Directory - пользователи и компьютеры.)
В группу PasswordPropAllow добавьте имена пользователей, чьи пароли должны синхронизироваться, а в группу PasswordPropDeny - имена пользователей, чьи пароли не должны синхронизироваться.
Синхронизация паролей выполняется для группы PasswordPropAllow и не выполняется для группы PasswordPropDeny.
Если группы PasswordPropAllow не существует, эффект будет таким же, как если бы она существовала и в ней были указаны все пользователи. Если группы PasswordPropDeny не существует, эффект будет таким же, как если бы она существовала и в ней не были указаны пользователи.
Эти правила применяются к синхронизации из Windows в UNIX и из UNIX в Windows. Если пароль пользователя не может быть синхронизирован из Windows в UNIX, он также не может быть синхронизирован и из UNIX в Windows.
Можно сделать так, чтобы для определенных пользователей не выполнялась синхронизация паролей, даже если она разрешена сервером синхронизации паролей. Чтобы пароль учетной записи пользователя UNIX никогда не синхронизировался с паролем Windows, необходимо в файле sso.conf указать после параметра SYNC_USERS= перед именем этой учетной записи пользователя знак минус (-). Например, чтобы пароль учетной записи root никогда не синхронизировался с учетной записью Windows, имеющей это имя, укажите в файле sso.conf следующую строку:
SYNC_USERS=–root
Управление синхронизацией паролей для учетных записей пользователей |
-
Откройте оснастку «Active Directory - пользователи и компьютеры».
Чтобы ее открыть, нажмите кнопку Пуск, выберите команду Администрирование, а затем выберите пункт Active Directory - пользователи и компьютеры.
Эту оснастку также можно открыть из окна Диспетчер серверов, развернув в панели иерархий узлы Роли и Доменные службы Active Directory, а затем выбрав пункт Active Directory - пользователи и компьютеры.
-
На панели иерархий оснастки Active Directory - пользователи и компьютеры щелкните правой кнопкой мыши раздел Пользователи.
-
Выберите команду Создать, затем - пункт Групповой.
-
Присвойте группе имя PasswordPropAllow.
-
В области Область действия группы выберите Локальная в домене.
-
В области Тип группы выберите Безопасность.
-
Нажмите кнопку ОК.
-
Чтобы создать вторую группу, повторите всю процедуру до шага 7, но этой группе присвойте имя PasswordPropDeny.
-
В области результатов щелкните правой кнопкой мыши группу PasswordPropAllow и выберите пункт «Свойства».
-
В диалоговом окне Свойства PasswordPropAllow на вкладке Члены домена добавьте имена пользователей, чьи пароли должны синхронизироваться. Добавив все необходимые имена, нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.
-
В диалоговом окне Свойства PasswordPropDeny на вкладке Члены домена добавьте имена пользователей, чьи пароли не должны синхронизироваться. Добавив все необходимые имена, нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства.
Примечание | |
Эту процедуру нельзя выполнить с помощью командной строки. |