AD コネクタと AD パスワード同期モジュールの両方を使用していると「ユーザーは次回ログオン時にパスワード変更が必要」が自動的にオフになる
(Doc ID 2026379.1)
Last updated on MARCH 12, 2019
適用範囲:
Identity Manager Connector - バージョン 9.1.1 以降この文書の内容はすべてのプラットフォームに適用されます。
目的
Microsoft Active Directory User Management connector 11.1.1 (AD CP)とMicrosoft Active Directory Password Synchronization 9.1.1 (AD Password Sync module)の両方を使用している環境において、Windows の管理者が AD 側にてユーザーのパスワードをリセットすると「ユーザーは次回ログオン時にパスワード変更が必要」という AD 側フラグが自動的にオフになります。
この事象は Windows の「パスワードの履歴を記録する」ポリシーを有効にしていても発生します。
以下はそのフローになります。
1.ADコンソールにてアカウントのパスワードをリセット
2.AD Password Sync module がパスワード変更を検知し、パスワードを OIM に送信
3.OIM がパスワードを受け取り、USR_PASSWORD と UD_ADUSER_PASSWORD を更新
4.その後タスク(Change User Password もしくは Password Updated)が起動し、パスワードを AD 側へプロビジョニング
5.unicodePwd 属性がステップ1 で変更した時と同じパスワード文字列で更新、この時に「ユーザーは次回ログオン時にパスワード変更が必要」がオフに変更
解決策
To view full details, sign in with your My Oracle Support account. |
|
Don't have a My Oracle Support account? Click to get started! |
本書の内容
| 目的 |
| 解決策 |
| 参照情報 |