Behandeln von Problemen mit Zugriffsberechtigungen und Berechtigungen für Kennwortrückschreiben
In diesem Artikel werden die Zugriffsrechte und Berechtigungen beschrieben, die im Domänenstamm, dem Benutzerobjekt und dem integrierten Container in Active Directory erforderlich sind. Außerdem werden die folgenden Elemente erläutert:
- Erforderliche Domänengruppenrichtlinien
- Identifizieren des Active Directory-Domäne Services(AD DS)-Connectorkontos, das Microsoft Entra Connect verwendet
- So überprüfen Sie vorhandene Berechtigungen für dieses Konto
- So vermeiden Sie Replikationsprobleme
Diese Informationen können Ihnen bei der Behandlung bestimmter Probleme helfen, die ein Kennwortrückschreiben erfordern.
Identifizieren des AD DS Connector-Kontos
Bevor Sie nach Kennwortrückschreibenberechtigungen suchen, überprüfen Sie das aktuelle AD DS Connector-Konto (auch als MSOL_ Konto bezeichnet) in Microsoft Entra Connect. Wenn Sie dieses Konto überprüfen, können Sie die falschen Schritte während der Problembehandlung beim Kennwortrückschreiben vermeiden.
So identifizieren Sie das AD DS Connector-Konto:
Öffnen Sie den Synchronisierungsdienst-Manager. Wählen Sie dazu "Start" aus, geben Sie "Microsoft Entra Connect" ein, wählen Sie "Microsoft Entra Connect" in den Suchergebnissen und dann "Synchronisierungsdienst" aus.
Wählen Sie die Registerkarte "Connectors " und dann den entsprechenden Active Directory-Connector aus. Wählen Sie im Bereich "Aktionen " die Option "Eigenschaften" aus, um das Dialogfeld "Eigenschaften " zu öffnen.
Wählen Sie im linken Bereich des Eigenschaftenfensters die Option "Mit Active Directory-Gesamtstruktur verbinden" aus, und kopieren Sie dann den Kontonamen, der als Benutzername angezeigt wird.
Überprüfen vorhandener Berechtigungen des AD DS Connector-Kontos
Verwenden Sie das integrierte ADSyncConfig PowerShell-Modul, um die richtigen Active Directory-Berechtigungen für das Kennwortrückschreiben festzulegen. Das ADSyncConfig-Modul enthält eine Methode zum Festlegen von Berechtigungen für das Kennwortrückschreiben mithilfe des Cmdlets Set-ADSyncPasswordWritebackPermissions .
Verwenden Sie eines der folgenden Tools, um zu überprüfen, ob das AD DS Connector-Konto (d. a. das MSOL_ -Konto) über die richtigen Berechtigungen für einen bestimmten Benutzer verfügt:
- Active Directory-Benutzer und -Computer Snap-Ins in der Microsoft Management Console (MMC)
- Eingabeaufforderung
- PowerShell
Snap-In für Active Directory-Benutzer und -Computer
Verwenden Sie das MMC-Snap-In für Active Directory-Benutzer und -Computer. Führen Sie folgende Schritte aus:
Wählen Sie "Start" aus, geben Sie "dsa.msc" ein, und wählen Sie dann das Active Directory-Benutzer und -Computer Snap-In in den Suchergebnissen aus.
Wählen Sie "Erweiterte Features anzeigen">aus.
Suchen Sie in der Konsolenstruktur das Benutzerkonto, auf das Sie die Berechtigungen überprüfen möchten, und wählen Sie es aus. Wählen Sie dann das Symbol "Eigenschaften" aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte "Sicherheit " und dann die Schaltfläche "Erweitert " aus.
Wählen Sie im Dialogfeld "Erweiterte Sicherheitseinstellungen " für das Konto die Registerkarte "Effektive Berechtigungen " aus. Wählen Sie dann im Abschnitt "Gruppe" oder "Benutzername " die Schaltfläche "Auswählen " aus.
Wählen Sie im Dialogfeld "Benutzer, Computer oder Gruppe auswählen" die Option "Jetzt suchen"> aus, um die Auswahlliste anzuzeigen. Wählen Sie im Suchergebnisfeld den Namen des MSOL_ Kontos aus.
Wählen Sie zweimal OK aus, um zur Registerkarte "Effektive Berechtigungen " im Dialogfeld "Erweiterte Sicherheitseinstellungen " zurückzukehren. Jetzt können Sie die Liste der effektiven Berechtigungen für das MSOL_ Konto anzeigen, das dem Benutzerkonto zugewiesen ist. Die Liste der Standardberechtigungen, die für das Kennwortrückschreiben erforderlich sind, wird im Abschnitt "Erforderliche Berechtigungen" im Abschnitt "Benutzerobjekt " in diesem Artikel angezeigt.
Eingabeaufforderung
Verwenden Sie den Befehl "dsacls ", um die Zugriffssteuerungslisten (ACLs oder Berechtigungen) des AD DS Connector-Kontos anzuzeigen. Der folgende Befehl speichert die Befehlsausgabe in einer Textdatei, sie kann jedoch so geändert werden, dass die Ausgabe auf der Konsole angezeigt wird:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Mit dieser Methode können Sie die Berechtigungen für jedes Active Directory-Objekt analysieren. Es ist jedoch nicht hilfreich, Berechtigungen zwischen Objekten zu vergleichen, da die Textausgabe nicht sortiert ist.
PowerShell
Verwenden Sie das Cmdlet "Get-Acl ", um die AD DS Connector-Kontoberechtigungen abzurufen, und speichern Sie dann die Ausgabe als XML-Datei mithilfe des Cmdlets Export-Clixml wie folgt:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
Die PowerShell-Methode ist für die Offlineanalyse nützlich. Sie können die Datei mithilfe des Cmdlets Import-Clixml importieren. Außerdem behält sie die ursprüngliche Struktur der ACL und deren Eigenschaften bei. Mit dieser Methode können Sie die Berechtigungen für jedes Active Directory-Objekt analysieren.
Vermeiden von Replikationsproblemen beim Beheben von Berechtigungen
Wenn Sie Active Directory-Berechtigungen beheben, werden die Änderungen an Active Directory möglicherweise nicht sofort wirksam. Active Directory-Berechtigungen unterliegen auch Replikationen in der gesamtstrukturübergreifenden Weise wie Active Directory-Objekte. Wie mindern Sie die Active Directory-Replikationsprobleme oder -Verzögerungen? Sie legen einen bevorzugten Domänencontroller in Microsoft Entra Connect fest und arbeiten nur an diesem Domänencontroller für änderungen. Wenn Sie das Active Directory-Benutzer und -Computer Snap-In verwenden, klicken Sie mit der rechten Maustaste auf den Domänenstamm in der Konsolenstruktur, wählen Sie das Menüelement "Domänencontroller ändern" aus, und wählen Sie dann denselben bevorzugten Domänencontroller aus.
Führen Sie die Domänencontrollerdiagnose mithilfe des Dcdiag-Befehls aus, um eine schnelle Überprüfung in Active Directory durchzuführen. Führen Sie dann den Befehl "repadmin /replsummary " aus, um eine Zusammenfassung der Replikationsprobleme anzuzeigen. Die folgenden Befehle speichern die Befehlsausgabe in Textdateien, sie können jedoch so geändert werden, dass die Ausgabe auf der Konsole angezeigt wird:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Erforderliche Berechtigungen für den Active Directory-Domänenstamm
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben im Active Directory-Domänenstamm beschrieben. Verwechseln Sie diesen Stamm nicht mit dem Stamm der Active Directory-Gesamtstruktur. Eine Gesamtstruktur kann über mehrere Active Directory-Domänen verfügen. Jede Domäne muss über die richtigen Berechtigungen verfügen, die in ihrem eigenen Stamm festgelegt sind, damit das Kennwortrückschreiben für Benutzer in dieser Domäne funktionieren kann.
Sie können die vorhandenen Active Directory-Berechtigungen in den Sicherheitseigenschaften des Domänenstamms anzeigen. Führen Sie folgende Schritte aus:
Öffnen Sie das Snap-In %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;.
Suchen Sie in der Konsolenstruktur den Active Directory-Domänenstamm, und wählen Sie es aus, und wählen Sie dann das Symbol "Eigenschaften" aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte "Sicherheit " aus.
Jeder der folgenden Unterabschnitte enthält eine Tabelle mit den Standardberechtigungen für domänenstammende Berechtigungen. Diese Tabelle enthält die erforderlichen Berechtigungseinträge für die Gruppe oder den Benutzernamen, die sich im Unterabschnittstitel befinden. Führen Sie die folgenden Schritte für jeden Unterabschnitt aus, um die aktuellen Berechtigungseinträge anzuzeigen und zu ändern, um die Anforderungen für jede Gruppe oder jeden Benutzernamen zu erfüllen:
Wählen Sie auf der Registerkarte "Sicherheit " die Schaltfläche "Erweitert " aus, um das Dialogfeld "Erweiterte Sicherheitseinstellungen " anzuzeigen. Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der Domänenstammberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Vergleichen Sie die aktuelle Berechtigungsliste mit der Liste der Standardberechtigungen für jede Active Directory-Identität (Prinzipal).
Wählen Sie bei Bedarf "Hinzufügen" aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag aus, und wählen Sie dann "Bearbeiten" aus, um diesen Eintrag so zu ändern, dass er die Anforderung erfüllt. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie "OK " aus, um die Änderungen im Dialogfeld "Erweiterte Sicherheitseinstellungen " zu übernehmen und zum Dialogfeld "Eigenschaften " zurückzukehren.
Notiz
Die Berechtigungen für den Active Directory-Domänenstamm werden nicht von einem übergeordneten Container geerbt.
Stammstandardberechtigungen für das AD DS Connector-Konto (Zulassen)
| Berechtigung | Anwenden auf |
|---|---|
| Zurücksetzen des Kennworts | Nachfolger-Benutzerobjekte |
| (leer) | Untergeordnete msDS-Device-Objekte |
| Replizieren von Verzeichnisänderungen | This object only |
| Replizieren von Verzeichnisänderungen: Alle | This object only |
| Alle Eigenschaften lesen | Untergeordnete publicFolder-Objekte |
| Alle Eigenschaften lesen/schreiben | Nachfolger-InetOrgPerson-Objekte |
| Alle Eigenschaften lesen/schreiben | Nachfolger-Gruppenobjekte |
| Alle Eigenschaften lesen/schreiben | Nachfolger-Benutzerobjekte |
| Alle Eigenschaften lesen/schreiben | Nachfolger-Kontaktobjekte |
Stammstandardberechtigungen für authentifizierte Benutzer (Zulassen)
| Berechtigung | Anwenden auf |
|---|---|
| Aktivieren eines reversibisch verschlüsselten Kennworts pro Benutzer | This object only |
| Unexpire-Kennwort | This object only |
| Aktualisieren eines Kennworts, das nicht erforderlich ist | This object only |
| Sonder- | This object only |
| (leer) | Dieses Objekt und alle Nachfolgerobjekte |
Stammstandardberechtigungen für "Jeder" (Verweigern + Zulassen)
| Typ | Berechtigung | Anwenden auf |
|---|---|---|
| Verweigern | Alle untergeordneten Objekte löschen | This object only |
| Zulassen | Alle Eigenschaften lesen | This object only |
Stammstandardberechtigungen für pre-Windows 2000-kompatiblen Zugriff (Zulassen)
| Berechtigung | Anwenden auf |
|---|---|
| Sonder- | Nachfolger-InetOrgPerson-Objekte |
| Sonder- | Nachfolger-Gruppenobjekte |
| Sonder- | Nachfolger-Benutzerobjekte |
| Sonder- | This object only |
| Inhalt auflisten | Dieses Objekt und alle Nachfolgerobjekte |
Stammstandardberechtigungen für SELF (Zulassen)
| Berechtigung | Anwenden auf |
|---|---|
| (leer) | Dieses Objekt und alle Nachfolgerobjekte |
| Sonder- | Alle untergeordneten Objekte |
| Überprüfter Schreibzugriff auf Computerattribute | Nachfolger-Computerobjekte |
| (leer) | Nachfolger-Computerobjekte |
Erforderliche Berechtigungen für das Benutzerobjekt
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben für das Zielbenutzerobjekt beschrieben, das das Kennwort aktualisieren muss. Führen Sie zum Anzeigen der vorhandenen Sicherheitsberechtigungen die folgenden Schritte aus, um die Sicherheitseigenschaften des Benutzerobjekts anzuzeigen:
Kehren Sie zum Active Directory-Benutzer und -Computer Snap-Ins zurück.
Verwenden Sie die Konsolenstruktur oder das Menüelement "Aktionssuche>", um das Zielbenutzerobjekt auszuwählen, und wählen Sie dann das Symbol "Eigenschaften" aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte "Sicherheit " aus.
Jeder der folgenden Unterabschnitte enthält eine Tabelle mit Benutzerstandardberechtigungen. Diese Tabelle enthält die erforderlichen Berechtigungseinträge für die Gruppe oder den Benutzernamen, die sich im Unterabschnittstitel befinden. Führen Sie die folgenden Schritte für jeden Unterabschnitt aus, um die aktuellen Berechtigungseinträge anzuzeigen und zu ändern, um die Anforderungen für jede Gruppe oder jeden Benutzernamen zu erfüllen:
Wählen Sie auf der Registerkarte "Sicherheit " die Schaltfläche "Erweitert " aus, um das Dialogfeld "Erweiterte Sicherheitseinstellungen " anzuzeigen.
Stellen Sie sicher, dass die Schaltfläche "Vererbung deaktivieren" am unteren Rand des Dialogfelds angezeigt wird. Wenn stattdessen die Schaltfläche "Vererbung aktivieren" angezeigt wird, wählen Sie diese Schaltfläche aus. Mit dem Feature "Vererbung aktivieren" können alle Berechtigungen von übergeordneten Containern und Organisationseinheiten von diesem Objekt geerbt werden. Diese Änderung behebt das Problem.
Vergleichen Sie auf der Registerkarte "Berechtigungen " die aktuelle Berechtigungsliste mit der Liste der Standardberechtigungen für jede Active Directory-Identität (Prinzipal). Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der Benutzerberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Wählen Sie bei Bedarf "Hinzufügen" aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag aus, und wählen Sie dann "Bearbeiten" aus, um diesen Eintrag so zu ändern, dass er die Anforderung erfüllt. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie "OK " aus, um die Änderungen im Dialogfeld "Erweiterte Sicherheitseinstellungen " zu übernehmen und zum Dialogfeld "Eigenschaften " zurückzukehren.
Notiz
Im Gegensatz zum Active Directory-Domänenstamm werden die erforderlichen Berechtigungen für das Benutzerobjekt in der Regel vom Domänenstamm oder von einem übergeordneten Container oder einer Organisationseinheit geerbt. Berechtigungen, die direkt für das Objekt festgelegt wurden, geben eine Vererbung von None an. Die Vererbung des Zugriffssteuerungseintrags (Access Control Entry, ACE) ist nicht wichtig, solange die Werte in "Type", "Principal", "Access" und "Applies" für Spalten für die Berechtigung identisch sind. Bestimmte Berechtigungen können jedoch nur im Domänenstamm festgelegt werden. Diese Entitäten werden in den Unterabschnittstabellen aufgeführt.
Benutzerstandardberechtigungen für das AD DS Connector-Konto (Zulassen)
| Berechtigung | Geerbt von | Anwenden auf |
|---|---|---|
| Zurücksetzen des Kennworts | <Domänenstamm> | Nachfolger-Benutzerobjekte |
| (leer) | <Domänenstamm> | Untergeordnete msDS-Device-Objekte |
| Alle Eigenschaften lesen | <Domänenstamm> | Untergeordnete publicFolder-Objekte |
| Alle Eigenschaften lesen/schreiben | <Domänenstamm> | Nachfolger-InetOrgPerson-Objekte |
| Alle Eigenschaften lesen/schreiben | <Domänenstamm> | Nachfolger-Gruppenobjekte |
| Alle Eigenschaften lesen/schreiben | <Domänenstamm> | Nachfolger-Benutzerobjekte |
| Alle Eigenschaften lesen/schreiben | <Domänenstamm> | Nachfolger-Kontaktobjekte |
Standardberechtigungen für authentifizierte Benutzer (Zulassen)
| Berechtigung | Geerbt von | Anwenden auf |
|---|---|---|
| Allgemeine Informationen lesen | Keine | This object only |
| Öffentliche Informationen lesen | Keine | This object only |
| Persönliche Informationen lesen | Keine | This object only |
| Lesen von Webinformationen | Keine | This object only |
| Leseberechtigungen | Keine | This object only |
| Exchange-Informationen lesen | <Domänenstamm> | Dieses Objekt und alle Nachfolgerobjekte |
Benutzerstandardberechtigungen für "Jeder" (Zulassen)
| Berechtigung | Geerbt von | Anwenden auf |
|---|---|---|
| Kennwort ändern | Keine | This object only |
Benutzerstandardberechtigungen für pre-Windows 2000-kompatiblen Zugriff (Zulassen)
Die Berechtigungen "Sonderberechtigungen " in dieser Tabelle umfassen Listeninhalte, "Alle Eigenschaften lesen" und "Berechtigungen lesen" .
| Berechtigung | Geerbt von | Anwenden auf |
|---|---|---|
| Sonder- | <Domänenstamm> | Nachfolger-InetOrgPerson-Objekte |
| Sonder- | <Domänenstamm> | Nachfolger-Gruppenobjekte |
| Sonder- | <Domänenstamm> | Nachfolger-Benutzerobjekte |
| Inhalt auflisten | <Domänenstamm> | Dieses Objekt und alle Nachfolgerobjekte |
Benutzerstandardberechtigungen für SELF (Zulassen)
Zu den Sonderberechtigungen in dieser Tabelle gehören nur Lese-/Schreibberechtigungen für private Informationen .
| Berechtigung | Geerbt von | Anwenden auf |
|---|---|---|
| Kennwort ändern | Keine | This object only |
| Senden als | Keine | This object only |
| Empfangen als | Keine | This object only |
| Lesen/Schreiben von persönlichen Informationen | Keine | This object only |
| Lese-/Schreibzugriff auf Telefon- und E-Mail-Optionen | Keine | This object only |
| Webinformationen mit Lese-/Schreibzugriff | Keine | This object only |
| Sonder- | Keine | This object only |
| Überprüfter Schreibzugriff auf Computerattribute | <Domänenstamm> | Nachfolger-Computerobjekte |
| (leer) | <Domänenstamm> | Nachfolger-Computerobjekte |
| (leer) | <Domänenstamm> | Dieses Objekt und alle Nachfolgerobjekte |
| Sonder- | <Domänenstamm> | Dieses Objekt und alle Nachfolgerobjekte |
Erforderliche Berechtigungen für das SAM-Serverobjekt
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben für das SAM-Serverobjekt (Security Account Manager) (CN=Server,CN=System,DC=Contoso,DC=com) beschrieben. Führen Sie die folgenden Schritte aus, um die Sicherheitseigenschaften des SAM-Serverobjekts (samServer) zu finden:
Kehren Sie zum Active Directory-Benutzer und -Computer Snap-Ins zurück.
Suchen Sie in der Konsolenstruktur den Systemcontainer, und wählen Sie ihn aus.
Suchen Sie den Server (das samServer-Objekt), und wählen Sie es aus, und wählen Sie dann das Symbol "Eigenschaften" aus.
Wählen Sie im Dialogfeld Eigenschaften für das Objekt die Registerkarte "Sicherheit " aus.
Wählen Sie das Dialogfeld "Erweiterte Sicherheitseinstellungen " aus. Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der SamServer-Objektberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Stellen Sie sicher, dass mindestens einer der folgenden Prinzipale im Zugriffssteuerungseintrag für das samServer-Objekt aufgeführt ist. Wenn nur pre-Windows 2000-kompatibler Zugriff aufgeführt ist, stellen Sie sicher, dass authentifizierte Benutzer Mitglied dieser integrierten Gruppe sind.
Berechtigungen für vor Windows 2000 kompatiblen Zugriff (Zulassen)
Spezielle Berechtigungen müssen den Listeninhalt, "Alle Eigenschaften lesen" und "Leseberechtigungen" enthalten.
Berechtigungen für authentifizierte Benutzer (Zulassen)
Spezielle Berechtigungen müssen den Listeninhalt, "Alle Eigenschaften lesen" und "Leseberechtigungen" enthalten.
Erforderliche Berechtigungen für den integrierten Container
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben im Builtin-Container beschrieben. Um die vorhandenen Sicherheitsberechtigungen anzuzeigen, führen Sie die folgenden Schritte aus, um zu den Sicherheitseigenschaften des integrierten Objekts zu gelangen:
Öffnen Sie das Active Directory-Benutzer und -Computer Snap-In.
Suchen Sie in der Konsolenstruktur den integrierten Container, und wählen Sie ihn aus, und wählen Sie dann das Symbol "Eigenschaften " aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte "Sicherheit " aus.
Wählen Sie die Schaltfläche "Erweitert " aus, um das Dialogfeld "Erweiterte Sicherheitseinstellungen " anzuzeigen. Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der integrierten Containerberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Vergleichen Sie diese aktuelle Berechtigungsliste mit der Liste der erforderlichen Zulassungsberechtigungen für das MSOL_ -Konto wie folgt.
Berechtigung Geerbt von Anwenden auf Alle Eigenschaften lesen/schreiben <Domänenstamm> Nachfolger-InetOrgPerson-Objekte Alle Eigenschaften lesen/schreiben <Domänenstamm> Nachfolger-Gruppenobjekte Alle Eigenschaften lesen/schreiben <Domänenstamm> Nachfolger-Benutzerobjekte Alle Eigenschaften lesen/schreiben <Domänenstamm> Nachfolger-Kontaktobjekte Wählen Sie bei Bedarf "Hinzufügen" aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag aus, und wählen Sie dann "Bearbeiten" aus, um diesen Eintrag so zu ändern, dass er die Anforderung erfüllt. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie "OK " aus, um das Dialogfeld "Erweiterte Sicherheitseinstellungen " zu beenden und zum Dialogfeld "Eigenschaften " zurückzukehren.
Andere erforderliche Active Directory-Berechtigungen
Wechseln Sie in den Gruppeneigenschaften " Vor Windows 2000 Kompatibler Zugriff " zur Registerkarte "Mitglieder ", und stellen Sie sicher, dass authentifizierte Benutzer Mitglied dieser Gruppe sind. Andernfalls treten möglicherweise Probleme auf, die sich auf das Kennwortrückschreiben in Microsoft Entra Connect und Active Directory auswirken (insbesondere bei älteren Versionen).
Erforderliche Domänengruppenrichtlinien
Führen Sie die folgenden Schritte aus, um sicherzustellen, dass Sie über die richtigen Domänengruppenrichtlinien verfügen:
Wählen Sie "Start" aus, geben Sie "secpol.msc" ein, und wählen Sie dann in den Suchergebnissen die lokale Sicherheitsrichtlinie aus.
Erweitern Sie in der Konsolenstruktur unter "Sicherheitseinstellungen" die option "Lokale Richtlinien", und wählen Sie dann "Benutzerrechtezuweisung" aus.
Wählen Sie in der Liste der Richtlinien den Identitätswechsel eines Clients nach der Authentifizierung aus, und wählen Sie dann das Symbol "Eigenschaften" aus.
Stellen Sie im Dialogfeld Eigenschaften sicher, dass die folgenden Gruppen auf der Registerkarte "Lokale Sicherheitseinstellung" aufgeführt sind:
- Administratoren
- LOKALER DIENST
- NETZWERKDIENST
- SERVICE
Weitere Informationen finden Sie unter den Standardwerten für den Identitätswechsel eines Clients nach der Authentifizierungsrichtlinie.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.