以下方案使用 Active Directory 驱动程序。 但是,相同的事件也可能发生在其它驱动程序上。
提供初始口令: 当 Active Directory 驱动程序在 Identity Vault 中创建新用户对象以匹配 Active Directory 中的用户时,希望该驱动程序提供该用户的初始口令。 Active Directory 驱动程序的样本配置将发送初始口令作为一项独立操作,但不添加用户;如果 Active Directory 未提供任何口令,样本配置中还包括向用户提供默认口令的策略。
由于添加用户和设置口令的操作是分别进行的,在这种情况下新用户通常会立即收到默认口令。 由于 Active Directory 驱动程序在添加用户后会立即发送口令,因此默认口令随后将被更新。 如果默认口令不符合用户 Identity Vault 的口令策略,将出现错误。
例如,如果使用用户的姓氏创建的默认口令过短,不符合口令策略,可能会出现 -216 错误,提示口令过短。 但是,如果 Active Directory 驱动程序接着发送了符合策略的初始口令,将很快纠正这种情况
无论所使用的是哪个驱动程序,若希望创建用户对象的已连接系统提供初始口令,请考虑执行以下某项操作。 如果“添加”事件未提供初始口令而在后续事件中提供了初始口令,这些措施则更加重要。
如果初始口令来自授权应用程序,将替换默认口令。
由于建议保留默认口令策略以维持系统内部的高级别安全性,因此该选项更加适用。
要获得预期的口令同步结果,请确保运行口令同步驱动程序的服务器上的主复本或读/写复本中的树枝与已指派口令策略(该策略启用通用口令)的树枝相匹配。 将口令策略指派给分区根树枝可确保将此口令策略指派给树枝和子树枝中的所有用户。