Active Directory密码同步代理是IBM tivoli提供的工具,用于将密码与与Tivoli Identity Manager Application集成的企业应用程序同步。此代理将安装在Infrastructure中的所有域控制器上。每当用户或管理员更改密码时,该模块都会捕获普通密码并将其发送到tivoli身份管理器平台。对于此Active Directory密码,Synchronization代理使用ITIM(IBM tivoli身份管理器)用户及其凭据将密码传播到ITIM。并且ITIM将具有密码规则,密码将在若干天内到期。此AD代理的ITIM用户也必须在过期时进行更改。当用户或管理员尝试更改密码时,如果它已过期,则无法更改密码。
在测试系统中,我们只需在ITIM中更改用户的密码,并使用新密码配置AD密码代理。
在生产系统中,有没有办法将此密码更改传播到所有Active Directory域?如何处理这种情况?
答案 0 :(得分:1)
如果您在W2K8 R2之前使用平台。
在服务器上,您无法将ITIM服务配置为以Local Service,Network Service或Local System运行吗?
问题是,这些服务帐户易于配置和使用,但通常在多个应用程序和服务之间共享,无法在域级别进行管理。
在W2K8 R2和Windows 7上
Windows Server 2008 R2和Windows 7中提供了两种新类型的服务帐户:managed service account和virtual account。
托管服务帐户 旨在通过隔离自己的域帐户提供SQL Server和IIS等关键应用程序,同时无需管理员手动管理服务主体名称(SPN)和这些帐户的凭据(密码自动更改)。
Windows Server 2008 R2和Windows 7中的虚拟帐户 是“托管本地帐户”,可以使用计算机的凭据访问网络资源。