建议在同步口令时使用安全的连接。 下列两者之间的连接很容易受到攻击:
仅当从连接到的域控制器远程运行远程装载程序时,此情况才属实。
仅当域控制器不在该计算机上时,此情况才属实。
通过执行下列其中一项或多项操作来创建一个安全的连接:
如果在连接到的域控制器上运行驱动程序,则此情况不应用。
驱动程序 Shim 不在域控制器上运行时,要使口令同步运行,必须配置 SSL。
最初创建用户时,如果看到有关口令不符合要求的错误,则需要检查口令策略。
例如,Active Directory 驱动程序在 Identity Vault 中创建用户对象时,您可能需要 Active Directory 驱动程序提供某个用户的初始口令。 创建用户后,驱动程序 Shim 将创建用户,然后设置口令。
由于添加用户与设置口令是分开执行的,因此,此示例中的新用户将会接收默认口令,即使只是暂时使用默认口令。 Active Directory 驱动程序在添加用户后会立即发送口令,因此口令很快就会更新。
如果默认口令不符合用户的 eDirectory 口令策略,则会显示错误。 例如,如果使用用户姓氏创建的默认口令太短,以致于不符合口令策略,则会显示指明口令太短的 -216 错误。 但是,如果 Active Directory 驱动程序随即发送了一个符合策略的初始口令,则此情况很快就会得到矫正。
如果希望创建用户对象的已连接系统提供初始口令,则无论使用哪个驱动程序,都请考虑执行下列操作之一:
最好使用该选项。 建议保留默认口令的策略,以保持系统中较高的安全级别。
如果初始口令不是由添加事件产生的,而是由后续事件产生的,则这些措施尤其重要。