Active Directory OU を渡るアカウント移動の追跡

認証情報マネージャは、Active Directory 内の組織単位 (OU) 間を移動するユーザ アカウントを追跡できます。アカウントが OU を変えると、アカウント DN が変更されます。認証情報マネージャ アカウント追跡は、Active Directory でユーザ アカウントを探し、パスワードを正常に変更することができます。パスワードの表示ポリシーとパスワードのロールオーバーは OU の変更に影響されません。
capamnew
認証情報マネージャは、Active Directory 内の組織単位 (OU) 間を移動するユーザ アカウントを追跡できます。アカウントが OU を変えると、アカウント DN が変更されます。認証情報マネージャ アカウント追跡は、Active Directory でユーザ アカウントを探し、パスワードを正常に変更することができます。パスワードの表示ポリシーとパスワードのロールオーバーは OU の変更に影響されません。
認証情報マネージャは、最初に識別名 (DN) を使用して Active Directory にバインドしようとします。そのバインディングに失敗した場合、ユーザ プリンシパル名(UPN) を使用してバインドしようとします。UPN バインディングが成功した場合、Active Directory 内の DN に一致するよう、DN が
PAM
データベースで更新されます。

UPN を使用していないアカウント

認証情報マネージャは以下の状況で、自動的にアカウントの変更を追跡できないことがあります。手動で更新が必要です。
  • Active Directory アカウントに UPN が含まれていない場合は、ターゲット アカウントの DN を手動で更新します。UPN がないと、DN の代わりはありません。
  • UPN が Active Directory アカウントで変更された場合、
    PAM
    ターゲット アカウントで UPN を手動で更新します。UPN は Active Directory と認証情報マネージャの間で同期している必要があります。認証情報マネージャはまだ、DN を使用してアカウントを追跡できます。ただし、その後の OU の変更によって DN が変更されることがあり、UPN が代わりに必要です。
    UPN のみを変更しても、DN は変わりません。