如何使用Microsoft Identity Manager PCNS在两个Active域之间配置密码同步？

Question

我有两个域具有双向信任关系(选择性身份验证)。安装、配置了Microsoft，并配置了“密码更改通知服务”，并通过RPC请求正确地将密码更改传递给目标FIMSyncronization服务(Kerberos身份验证也正常工作)。

MIM中配置了两个AD管理代理:一个用于“源”域，另一个用于“目标”域。

为了允许“源”代理和“目标”代理上的密码同步，需要配置哪些属性和连接/投影规则？

官方文档在这方面还不清楚，Web上的所有示例都没有给出任何关于密码同步所需的规则/属性/映射的提示。

此外，“unicodePwd”属性只写在Active中，而且在Metaverse中似乎没有任何相关的属性来存储这个密码哈希。

Answer 1

通常，源MA中有一个投影规则来生成元节中的对象，以及至少一个指向索引属性的导入属性流，比如sAMAccountName、employeeID等。

您还可以在目标MA中使用一个连接规则，将目标帐户链接到源MA创建的元代码对象。

一旦帐户被链接，密码同步服务被通知一个新的密码，密码将被发送到目标，而不需要任何额外的属性流。