Im folgenden Szenario wird der Active Directory-Treiber verwendet. Bei einem anderen Treiber wäre diese Situation jedoch auch denkbar.
Bereitstellen eines Ausgangspassworts: Sie möchten, dass der Active Directory-Treiber das Ausgangspasswort für einen Benutzer bereitstellt, wenn der Treiber im Identitätsdepot ein neues Benutzerobjekt als passendes Gegenstück zu einem Benutzer in Active Directory erstellt. Die Beispielkonfiguration für den Active Directory-Treiber sendet das Ausgangspasswort in einem von der Benutzererstellung getrennten Vorgang. Darüber hinaus enthält die Beispielkonfiguration auch eine Richtlinie, die ein Standardpasswort für einen Benutzer bereitstellt, wenn Active Directory kein Passwort liefert.
Da das Hinzufügen des Benutzers und das Festlegen des Passworts separat erfolgen, erhält ein neuer Benutzer in diesem Fall immer das Standardpasswort, wenn auch möglicherweise nur kurzzeitig. Das Standardpasswort wird schon bald aktualisiert, weil der Active Directory-Treiber das Passwort unmittelbar nach dem Hinzufügen des Benutzers sendet. Wenn das Standardpasswort nicht der Passwortrichtlinie des Identitätsdepots für den Benutzer entspricht, wird eine Fehlermeldung angezeigt.
Wenn das Standardpasswort beispielsweise aus dem Nachnamen des Benutzers erstellt wird, diese aber zu kurz ist und der Passwortrichtlinie nicht entspricht, wird durch den Fehlercode „‑216“ angezeigt, dass das Passwort zu kurz ist. Diese Situation wird behoben, indem der Active Directory-Treiber ein konformes Ausgangspasswort sendet.
Unabhängig vom verwendeten Treiber müssen Sie eine der nachstehend beschriebenen Maßnahmen in Erwägung ziehen, wenn ein verbundenes System, das Benutzerobjekte erstellt, das Ausgangspasswort bereitstellen soll. Diese Maßnahmen sind besonders wichtig, wenn das Ausgangspasswort nicht mit dem Add-Ereignis, sondern mit einem nachgeordneten Ereignis übergeben wird.
Wenn das Ausgangspasswort von der autorisierten Anwendung stammt, ersetzt es das Standardpasswort.
Diese Möglichkeit ist vorzuziehen, weil zur Wahrung eines möglichst hohen Maßes an Sicherheit innerhalb des Systems das Vorhandensein einer Standardpasswortrichtlinie empfohlen wird.
Damit eine Passwortsynchronisierung die gewünschten Ergebnisse liefert, müssen Sie sicherstellen, dass die Container in der Master- oder Lese-/Schreibreproduktion auf dem Server, auf dem die Treiber für die Passwortsynchronisierung aktiv sind, den Containern entsprechen, für die Sie Passwortrichtlinien mit aktiviertem universellem Passwort zugewiesen haben. Durch Zuweisung einer Passwortrichtlinie an den Partitionsstammcontainer kann sichergestellt werden, dass die Passwortrichtlinie allen in diesem Container und seinen Untercontainern enthaltenen Benutzern zugewiesen wird.