Solución de problemas de permisos y derechos de acceso de escritura diferida de contraseñas
En este artículo se describen los derechos de acceso y los permisos necesarios en la raíz del dominio, el objeto de usuario y el contenedor Builtin en Active Directory. También se describen los siguientes elementos:
- Directivas de grupo de dominio necesarias
- Identificación de la cuenta del conector de Servicios de dominio de Active Directory (AD DS) que usa Microsoft Entra Connect
- Comprobación de los permisos existentes en esa cuenta
- Cómo evitar problemas de replicación
Esta información puede ayudarle a solucionar problemas específicos relacionados con la escritura diferida de contraseñas.
Identificación de la cuenta del conector de AD DS
Antes de comprobar si hay permisos de escritura diferida de contraseñas, compruebe la cuenta actual del conector de AD DS (también conocida como cuenta de MSOL_ ) en Microsoft Entra Connect. Comprobar esta cuenta le ayuda a evitar realizar los pasos incorrectos durante la solución de problemas de escritura diferida de contraseñas.
Para identificar la cuenta del conector de AD DS:
Abra el Synchronization Service Manager. Para ello, seleccione Inicio, escriba Microsoft Entra Connect, Seleccione Microsoft Entra Connect en los resultados de búsqueda y, a continuación, seleccione Servicio de sincronización.
Seleccione la pestaña Conectores y, a continuación, seleccione el conector de Active Directory aplicable. En el panel Acciones , seleccione Propiedades para abrir el cuadro de diálogo Propiedades .
En el panel izquierdo de la ventana Propiedades , seleccione Conectar al bosque de Active Directory y, a continuación, copie el nombre de cuenta que aparece como Nombre de usuario.
Comprobación de los permisos existentes de la cuenta del conector de AD DS
Para establecer los permisos correctos de Active Directory para la escritura diferida de contraseñas, use el módulo de PowerShell ADSyncConfig integrado. El módulo ADSyncConfig incluye un método para establecer permisos para la escritura diferida de contraseñas mediante el cmdlet Set-ADSyncPasswordWritebackPermissions .
Para comprobar si la cuenta del conector de AD DS (es decir, la cuenta de MSOL_ ) tiene los permisos correctos para un usuario específico, use una de las siguientes herramientas:
- Usuarios y equipos de Active Directory complemento en Microsoft Management Console (MMC)
- Símbolo del sistema
- PowerShell
Complemento Usuarios y equipos de Active Directory
Use el complemento MMC para Usuarios y equipos de Active Directory. Siga estos pasos:
Seleccione Inicio, escriba dsa.msc y, a continuación, seleccione el complemento Usuarios y equipos de Active Directory en los resultados de la búsqueda.
Seleccione Ver>características avanzadas.
En el árbol de consola, busque y seleccione la cuenta de usuario para la que desea comprobar los permisos. A continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad y, a continuación, seleccione el botón Avanzadas .
En el cuadro de diálogo Configuración de seguridad avanzada de la cuenta, seleccione la pestaña Permisos efectivos . A continuación, en la sección Grupo o nombre de usuario, seleccione el botón Seleccionar .
En el cuadro de diálogo Seleccionar usuario, equipo o grupo, seleccione Avanzadas>buscar ahora para mostrar la lista de selección. En el cuadro Resultados de la búsqueda , seleccione el nombre de la cuenta de MSOL_ .
Seleccione Aceptar dos veces para volver a la pestaña Permisos efectivos en el cuadro de diálogo Configuración de seguridad avanzada. Ahora, puede ver la lista de permisos efectivos de la cuenta de MSOL_ asignada a la cuenta de usuario. La lista de los permisos predeterminados necesarios para la escritura diferida de contraseñas se muestra en la sección Permisos necesarios en el objeto de usuario de este artículo.
Símbolo del sistema
Use el comando dsacls para mostrar las listas de control de acceso (ACL o permisos) de la cuenta del conector de AD DS. El siguiente comando almacena la salida del comando en un archivo de texto, aunque puede modificarla para mostrar la salida en la consola:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Puede usar este método para analizar los permisos de cualquier objeto de Active Directory. Sin embargo, no resulta útil comparar los permisos entre objetos porque la salida de texto no está ordenada.
PowerShell
Use el cmdlet Get-Acl para obtener los permisos de la cuenta del conector de AD DS y, a continuación, almacene la salida como un archivo XML mediante el cmdlet Export-Clixml , como se indica a continuación:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
El método de PowerShell es útil para el análisis sin conexión. Permite importar el archivo mediante el cmdlet Import-Clixml . También mantiene la estructura original de la ACL y sus propiedades. Puede usar este método para analizar los permisos de cualquier objeto de Active Directory.
Evitar problemas de replicación al corregir permisos
Al corregir los permisos de Active Directory, es posible que los cambios en Active Directory no surtan efecto inmediatamente. Los permisos de Active Directory también están sujetos a replicaciones en el bosque de la misma manera que los objetos de Active Directory. ¿Cómo se mitigan los problemas o retrasos de replicación de Active Directory? Establezca un controlador de dominio preferido en Microsoft Entra Connect y trabaje solo en ese controlador de dominio para cualquier cambio. Cuando use el complemento Usuarios y equipos de Active Directory, haga clic con el botón derecho en la raíz del dominio en el árbol de consola, seleccione el elemento de menú Cambiar controlador de dominio y, a continuación, elija el mismo controlador de dominio preferido.
Para obtener una comprobación rápida de integridad en Active Directory, ejecute diagnósticos del controlador de dominio mediante el comando dcdiag . A continuación, ejecute el comando repadmin /replsummary para ver un resumen de los problemas de replicación. Los siguientes comandos almacenan la salida del comando en archivos de texto, aunque puede modificarlos para mostrar la salida en la consola:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Permisos necesarios en la raíz del dominio de Active Directory
En esta sección se describen los permisos esperados de Active Directory para la escritura diferida de contraseñas en la raíz del dominio de Active Directory. No confunda esta raíz con la raíz del bosque de Active Directory. Un bosque puede tener varios dominios de Active Directory. Cada dominio debe tener los permisos correctos establecidos en su propia raíz, de modo que la escritura diferida de contraseñas pueda funcionar para los usuarios de ese dominio.
Puede ver los permisos de Active Directory existentes en las propiedades de seguridad de la raíz del dominio. Siga estos pasos:
Abra el complemento Usuarios y equipos de Active Directory.
En el árbol de consola, busque y seleccione la raíz del dominio de Active Directory y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad .
Cada una de las subsecciones siguientes contiene una tabla de permisos predeterminados de raíz de dominio. En esta tabla se muestran las entradas de permisos necesarias para el grupo o el nombre de usuario que se encuentra en el título de la subsección. Para ver y modificar las entradas de permisos actuales para que coincidan con los requisitos de cada grupo o nombre de usuario, siga estos pasos para cada subsección:
En la pestaña Seguridad , seleccione el botón Avanzadas para ver el cuadro de diálogo Configuración de seguridad avanzada. La pestaña Permisos muestra la lista actual de permisos raíz de dominio para cada identidad de Active Directory (entidad de seguridad).
Compare la lista de permisos actuales con la lista de permisos predeterminados para cada identidad de Active Directory (entidad de seguridad).
Si es necesario, seleccione Agregar para agregar entradas de permisos necesarias que faltan en la lista actual. O bien, seleccione una entrada de permiso y, a continuación, seleccione Editar para modificar esa entrada para cumplir el requisito. Repita este paso hasta que las entradas de permisos actuales coincidan con la tabla de subsección.
Seleccione Aceptar para aceptar los cambios en el cuadro de diálogo Configuración de seguridad avanzada y vuelva al cuadro de diálogo Propiedades .
Nota:
Los permisos en la raíz del dominio de Active Directory no se heredan de ningún contenedor primario.
Permisos predeterminados raíz para la cuenta del conector de AD DS (permitir)
| Permiso | Aplicar a |
|---|---|
| Restablecer contraseña | Objetos del usuario descendientes |
| (en blanco) | Objetos msDS-Device descendientes |
| Replicación de los cambios de directorio | Solo este objeto |
| Replicación de todos los cambios de directorio | Solo este objeto |
| Lectura de todas las propiedades | Objetos publicFolder descendientes |
| Lectura y escritura de todas las propiedades | Objetos InetOrgPerson descendientes |
| Lectura y escritura de todas las propiedades | Objetos del grupo descendientes |
| Lectura y escritura de todas las propiedades | Objetos del usuario descendientes |
| Lectura y escritura de todas las propiedades | Objetos del contacto descendiente |
Permisos predeterminados raíz para usuarios autenticados (permitir)
| Permiso | Aplicar a |
|---|---|
| Habilitación de la contraseña cifrada de forma reversible por usuario | Solo este objeto |
| Contraseña no expirada | Solo este objeto |
| Actualización de la contraseña no necesaria | Solo este objeto |
| Especial | Solo este objeto |
| (en blanco) | Este objeto y todos los objetos descendientes |
Permisos predeterminados raíz para todos (Denegar y permitir)
| Tipo | Permiso | Aplicar a |
|---|---|---|
| Denegar | Eliminar todos los objetos secundarios | Solo este objeto |
| Permitir | Lectura de todas las propiedades | Solo este objeto |
Permisos predeterminados raíz para el acceso compatible anterior a Windows 2000 (permitir)
| Permiso | Aplicar a |
|---|---|
| Especial | Objetos InetOrgPerson descendientes |
| Especial | Objetos del grupo descendientes |
| Especial | Objetos del usuario descendientes |
| Especial | Solo este objeto |
| Contenido de la lista | Este objeto y todos los objetos descendientes |
Permisos predeterminados raíz para SELF (Permitir)
| Permiso | Aplicar a |
|---|---|
| (en blanco) | Este objeto y todos los objetos descendientes |
| Especial | Todos los objetos descendientes |
| Escritura validada en atributos de equipo | Objetos del equipo descendientes |
| (en blanco) | Objetos del equipo descendientes |
Permisos necesarios en el objeto de usuario
En esta sección se describen los permisos esperados de Active Directory para la escritura diferida de contraseñas en el objeto de usuario de destino que tiene que actualizar la contraseña. Para ver los permisos de seguridad existentes, siga estos pasos para mostrar las propiedades de seguridad del objeto de usuario:
Vuelva al complemento Usuarios y equipos de Active Directory.
Use el árbol de consola o el elemento de menú Buscar> acción para seleccionar el objeto de usuario de destino y, a continuación, seleccione el icono Propiedades.
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad .
Cada una de las subsecciones siguientes contiene una tabla de permisos predeterminados de usuario. En esta tabla se muestran las entradas de permisos necesarias para el grupo o el nombre de usuario que se encuentra en el título de la subsección. Para ver y modificar las entradas de permisos actuales para que coincidan con los requisitos de cada grupo o nombre de usuario, siga estos pasos para cada subsección:
En la pestaña Seguridad , seleccione el botón Avanzadas para ver el cuadro de diálogo Configuración de seguridad avanzada.
Asegúrese de que el botón Deshabilitar herencia se muestra cerca de la parte inferior del cuadro de diálogo. Si se muestra el botón Habilitar herencia en su lugar, seleccione ese botón. La característica habilitar herencia permite que este objeto herede todos los permisos de los contenedores primarios y las unidades organizativas. Este cambio resuelve el problema.
En la pestaña Permisos , compare la lista de permisos actuales con la lista de permisos predeterminados para cada identidad de Active Directory (entidad de seguridad). La pestaña Permisos muestra la lista actual de permisos de usuario para cada identidad de Active Directory (entidad de seguridad).
Si es necesario, seleccione Agregar para agregar entradas de permisos necesarias que faltan en la lista actual. O bien, seleccione una entrada de permiso y, a continuación, seleccione Editar para modificar esa entrada para cumplir el requisito. Repita este paso hasta que las entradas de permisos actuales coincidan con la tabla de subsección.
Seleccione Aceptar para aceptar los cambios en el cuadro de diálogo Configuración de seguridad avanzada y vuelva al cuadro de diálogo Propiedades .
Nota:
A diferencia de la raíz del dominio de Active Directory, los permisos necesarios para el objeto de usuario normalmente se heredan de la raíz del dominio o de un contenedor primario o de una unidad organizativa. Los permisos que se establecieron directamente en el objeto indicarán una herencia de None. La herencia de la entrada de control de acceso (ACE) no es importante siempre que los valores del tipo, la entidad de seguridad, el acceso y se apliquen a las columnas para el permiso son los mismos. Sin embargo, determinados permisos solo se pueden establecer en la raíz del dominio. Estas entidades se enumeran en las tablas de subsección.
Permisos predeterminados de usuario para la cuenta del conector de AD DS (permitir)
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Restablecer contraseña | <raíz del dominio> | Objetos del usuario descendientes |
| (en blanco) | <raíz del dominio> | Objetos msDS-Device descendientes |
| Lectura de todas las propiedades | <raíz del dominio> | Objetos publicFolder descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos InetOrgPerson descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos del grupo descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos del usuario descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos del contacto descendiente |
Permisos predeterminados de usuario para usuarios autenticados (permitir)
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Leer información general | Ninguno | Solo este objeto |
| Leer información pública | Ninguno | Solo este objeto |
| Leer información personal | Ninguno | Solo este objeto |
| Leer información web | Ninguno | Solo este objeto |
| Permisos de lectura | Ninguno | Solo este objeto |
| Leer información de Exchange | <raíz del dominio> | Este objeto y todos los objetos descendientes |
Permisos predeterminados de usuario para todos (permitir)
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Cambiar contraseña | Ninguno | Solo este objeto |
Permisos predeterminados de usuario para el acceso compatible anterior a Windows 2000 (permitir)
Los permisos especiales de esta tabla incluyen Contenido de lista, Leer todas las propiedades y Permisos de lectura.
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Especial | <raíz del dominio> | Objetos InetOrgPerson descendientes |
| Especial | <raíz del dominio> | Objetos del grupo descendientes |
| Especial | <raíz del dominio> | Objetos del usuario descendientes |
| Contenido de la lista | <raíz del dominio> | Este objeto y todos los objetos descendientes |
Permisos predeterminados de usuario para SELF (Permitir)
Los permisos especiales de esta tabla incluyen solo derechos de información privada de lectura y escritura.
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Cambiar contraseña | Ninguno | Solo este objeto |
| Enviar como | Ninguno | Solo este objeto |
| Recibir como | Ninguno | Solo este objeto |
| Información personal de lectura y escritura | Ninguno | Solo este objeto |
| Opciones de teléfono y correo de lectura y escritura | Ninguno | Solo este objeto |
| Información web de lectura y escritura | Ninguno | Solo este objeto |
| Especial | Ninguno | Solo este objeto |
| Escritura validada en atributos de equipo | <raíz del dominio> | Objetos del equipo descendientes |
| (en blanco) | <raíz del dominio> | Objetos del equipo descendientes |
| (en blanco) | <raíz del dominio> | Este objeto y todos los objetos descendientes |
| Especial | <raíz del dominio> | Este objeto y todos los objetos descendientes |
Permisos necesarios en el objeto de servidor SAM
En esta sección se describen los permisos esperados de Active Directory para la escritura diferida de contraseñas en el objeto de servidor Administrador de cuentas de seguridad (SAM) (CN=Server,CN=System,DC=Contoso,DC=com). Para buscar las propiedades de seguridad del objeto de servidor SAM (samServer), siga estos pasos:
Vuelva al complemento Usuarios y equipos de Active Directory.
En el árbol de consola, busque y seleccione el contenedor Sistema .
Busque y seleccione Servidor (el objeto samServer) y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades del objeto, seleccione la pestaña Seguridad .
Seleccione el cuadro de diálogo Configuración de seguridad avanzada. La pestaña Permisos muestra la lista actual de permisos de objeto samServer para cada identidad de Active Directory (entidad de seguridad).
Compruebe que al menos una de las siguientes entidades de seguridad aparece en la entrada de control de acceso para el objeto samServer. Si solo aparece acceso compatible con Windows 2000 anterior, asegúrese de que los usuarios autenticados son miembros de este grupo integrado.
Permisos para el acceso compatible con Windows 2000 anterior (permitir)
Los permisos especiales deben incluir el contenido de la lista, leer todas las propiedades y derechos de permisos de lectura.
Permisos para usuarios autenticados (permitir)
Los permisos especiales deben incluir el contenido de la lista, leer todas las propiedades y derechos de permisos de lectura.
Permisos necesarios en el contenedor Builtin
En esta sección se describen los permisos de Active Directory esperados para la escritura diferida de contraseñas en el contenedor Builtin. Para ver los permisos de seguridad existentes, siga estos pasos para obtener las propiedades de seguridad del objeto integrado:
Abra el complemento Usuarios y equipos de Active Directory.
En el árbol de consola, busque y seleccione el contenedor Builtin y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad .
Seleccione el botón Opciones avanzadas para ver el cuadro de diálogo Configuración de seguridad avanzada. La pestaña Permisos muestra la lista actual de permisos de contenedor builtin para cada identidad de Active Directory (entidad de seguridad).
Compare esta lista de permisos actuales con la lista de permisos permitidos necesarios para la cuenta de MSOL_ , como se indica a continuación.
Permiso Heredado de Aplicar a Lectura y escritura de todas las propiedades <raíz del dominio> Objetos InetOrgPerson descendientes Lectura y escritura de todas las propiedades <raíz del dominio> Objetos del grupo descendientes Lectura y escritura de todas las propiedades <raíz del dominio> Objetos del usuario descendientes Lectura y escritura de todas las propiedades <raíz del dominio> Objetos del contacto descendiente Si es necesario, seleccione Agregar para agregar entradas de permisos necesarias que faltan en la lista actual. O bien, seleccione una entrada de permiso y, a continuación, seleccione Editar para modificar esa entrada para cumplir el requisito. Repita este paso hasta que las entradas de permisos actuales coincidan con la tabla de subsección.
Seleccione Aceptar para salir del cuadro de diálogo Configuración de seguridad avanzada y volver al cuadro de diálogo Propiedades .
Otros permisos de Active Directory necesarios
En las propiedades del grupo Acceso compatible con Pre-Windows 2000, vaya a la pestaña Miembros y asegúrese de que los usuarios autenticados son miembros de este grupo. De lo contrario, puede experimentar problemas que afectan a la escritura diferida de contraseñas en Microsoft Entra Connect y Active Directory (especialmente en versiones anteriores).
Directivas de grupo de dominio necesarias
Para asegurarse de que tiene las directivas de grupo de dominio correctas, siga estos pasos:
Seleccione Inicio, escriba secpol.msc y, a continuación, seleccione Directiva de seguridad local en los resultados de la búsqueda.
En el árbol de consola, en Configuración de seguridad, expanda Directivas locales y, a continuación, seleccione Asignación de derechos de usuario.
En la lista de directivas, seleccione Suplantar a un cliente después de la autenticación y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades , asegúrese de que los grupos siguientes aparecen en la pestaña Configuración de seguridad local:
- Administradores
- SERVICIO LOCAL
- SERVICIO DE RED
- SERVICE
Para obtener más información, consulte los valores predeterminados para suplantar a un cliente después de la directiva de autenticación.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.