再同期のような特定の状況では、Identity Synchronization for Windows はパスワードなしでアカウントを作成します。
Identity Synchronization for Windows がパスワードなしで Directory Server にエントリを作成するときは、userpassword 属性を {PSWSYNC}*INVALID*PASSWORD* に設定します。パスワードがリセットされるまで、ユーザーは Directory Server にログインできません。例外は、resync を -i NEW_USERS または NEW_LINKED_USERS オプションを指定して実行するときです。この場合、resync によって新しいユーザーのパスワードは無効になり、次回ユーザーがログインするときにオンデマンドパスワード同期がトリガーされます。
Identity Synchronization for Windows がパスワードなしで Active Directory にエントリを作成するときは、Active Directory パスワードポリシーを満たすようにランダムに選択された、強力なパスワードにユーザーのパスワードを設定します。この場合、警告メッセージがログに記録され、パスワードがリセットされるまでユーザーは Active Directory にログインできません。
Identity Synchronization for Windows の操作時に発生する可能性のあるシナリオの一部を次の表に示します。
この節では、パスワードポリシーが同期および再同期に与える影響について説明します。
これらの表は、すべての可能な設定シナリオを説明することを目的としていません。システムの設定はさまざまであるためです。この情報をガイドラインとして使用することで、パスワードが確実に同期され続けるようにすることができます。
表 4–3 パスワードポリシーが同期動作に与える影響
シナリオ |
結果 |
||||
---|---|---|---|---|---|
ユーザーの元の作成場所 |
ユーザーがパスワードポリシーを満たす場所 |
ユーザーの作成場所 |
|||
Directory Server |
Active Directory |
Directory Server |
Active Directory |
説明 |
|
Active Directory |
可 |
可 |
可 |
可 | |
可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
不可 |
可 |
可 |
可 |
「Active Directory パスワードポリシー」の情報を参照してください。 |
|
不可 |
不可 |
可 (「説明」を参照) |
不可 |
ユーザーは Directory Server に作成されます。ただし、削除が Active Directory から Directory Server へ同期される場合、このユーザーはただちに削除されます。 「Active Directory パスワードポリシー」の情報を参照してください。 |
|
Directory Server |
可 |
可 |
可 |
可 | |
可 |
不可 |
可 |
不可 | ||
不可 |
可 |
不可 |
不可 | ||
不可 |
不可 |
不可 |
不可 |
表 4–4 パスワードポリシーが再同期動作に与える影響
シナリオ |
結果 |
||
---|---|---|---|
Resync コマンド |
ユーザーがパスワードポリシーを満たす場所 |
||
Directory Server |
Active Directory |
||
resync -c -o Sun |
N/A |
可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
N/A |
不可 |
ユーザーは Active Directory に作成されますが、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
resync -c -i NEW_USERS | NEW_LINKED_USERS |
可 |
N/A |
ユーザーは Directory Server に作成され、ユーザーのパスワードはユーザーの最初のログイン時に設定されます。 「パスワードなしのアカウントの作成」を参照してください。 |
不可 |
N/A |
ユーザーは Directory Server に作成されますが、パスワードが Directory Server パスワードポリシーに違反しているため、ログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
|
resync -c |
可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |
不可 |
N/A |
ユーザーは Directory Server に作成されますが、新しいパスワード値が Active Directory または Directory Server で設定されるまでログインできません。 「パスワードなしのアカウントの作成」を参照してください。 |