Active Directory パスワードポリシーと一致しない Active Directory でユーザーを作成する場合、それらのユーザーは、Directory Server で作成されます。
Active Directory では、実際にユーザーを「一時的に」作成し、パスワードがパスワードポリシーの要件を満たさない場合にエントリを削除します。従って、Active Directory コネクタはこの一時的な追加を確認して、Directory Server にユーザーを作成します。ユーザーは Directory Server でパスワードを持たないため、そのユーザーとしてはだれもログインできません。また、これらのエントリは Active Directory で有効なエントリにリンクされません。削除が Active Directory から Directory Server へ同期されると、一時的に作成されたユーザーが自動的に削除されます。
ユーザーは、パスワードなしで Directory Server に作成されます。Directory Server は、エントリにパスワードが含まれていないかぎり、ユーザーの作成でパスワードポリシーを要求しません。
この状況から回復するには、Active Directory から Directory Server へ削除を同期することが推奨されます。または、ユーザーを Directory Server から削除してから、Active Directory パスワードポリシーに従うパスワードを使用して Active Directory にユーザーを追加できます。この方法では確実に、ユーザーが Directory Server で作成されて、適切にリンクされます。Directory Server ユーザーが Active Directory にはじめてログインしてパスワードを変更すると、そのパスワードは無効化されます。
ユーザーを Directory Server から削除せずに Active Directory ユーザーを新しいパスワードで再度追加しようとすると、ユーザーはすでに Directory Server に存在するため、Directory Server への追加は失敗します。エントリはリンクされないため、2 つの個別のアカウントをリンクするために idsync resync コマンドを実行してください。
idsync resync コマンドを実行する場合は、Directory Server のエントリにリンクされた Active Directory のアカウントのパスワードをリセットしてください。パスワードをリセットすると、Directory Server でそれらのパスワードが無効になり、次回ユーザーが新しい Active Directory パスワードを使用して Directory Server に対して認証を求めるときにオンデマンド同期が行われて Directory Server パスワードが更新されます。