Active Directory 密码同步代理是 IBM tivoli 提供的一个工具,用于将密码与与 Tivoli Identity Manager 应用程序集成的企业应用程序同步。该代理程序将安装在 Infrastructure 中的所有域控制器上。每当用户或管理员更改密码时,此模块都会捕获明文密码并将其发送到 tivoli 身份管理器平台。对于此 Active Directory 密码,同步代理程序使用 ITIM(IBM tivoli 身份管理器)用户及其凭证将密码传播到 ITIM。并且 ITIM 将有密码规则,即密码将在一定天数内过期。此 AD 代理的 ITIM 用户也必须在过期时更改。
在测试系统中,我们只需更改 ITIM 中用户的密码并使用新密码配置 AD 密码代理即可。
在生产系统中,有没有办法将此密码更改传播到所有 Active Directory 域?如何处理这种情况?
如果您使用的是 W2K8 R2 之前的平台。
在服务器上,您不能将 ITIM 服务配置为运行为Local Service、Network Service或Local System吗?问题是,这些服务帐户易于配置和使用,但通常在多个应用程序和服务之间共享,并且无法在域级别进行管理。
在 W2K8 R2 和 Windows 7 上
Windows Server 2008 R2 和 Windows 7 中提供了两种新类型的服务帐户:themanaged service account和virtual account.
托管服务帐户旨在为 SQL Server 和 IIS 等关键应用程序提供其自己的域帐户的隔离,同时无需管理员手动管理这些帐户的服务主体名称 (SPN) 和凭据(密码为自动更改)。
Windows Server 2008 R2 和 Windows 7 中的虚拟帐户是“托管本地帐户”,可以使用计算机的凭据访问网络资源。