パスワード ライトバック アクセス権とアクセス許可のトラブルシューティング
この記事では、Active Directory のドメイン ルート、ユーザー オブジェクト、および組み込みコンテナーで必要なアクセス権とアクセス許可について説明します。 また、次の項目についても説明します。
- 必要なドメイン グループ ポリシー
- Microsoft Entra Connect で使用される Active Directory ドメイン Services (AD DS) Connector アカウントを識別する方法
- そのアカウントの既存のアクセス許可を確認する方法
- レプリケーションの問題を回避する方法
この情報は、パスワード ライトバックに関連する特定の問題のトラブルシューティングに役立ちます。
AD DS コネクタ アカウントを特定する
パスワード ライトバックのアクセス許可を確認する前に、Microsoft Entra Connect で現在の AD DS コネクタ アカウント ( MSOL_ アカウントとも呼ばれます) を確認します。 このアカウントを確認すると、パスワード ライトバックのトラブルシューティング中に間違った手順を実行しないようにできます。
AD DS コネクタ アカウントを識別するには:
Synchronization Service Manager を開きます。 これを行うには、Start を選択し、「Microsoft Entra Connect 」と入力し、検索結果Microsoft Entra Connect を選択し、Synchronization Service を選択します。
Connectors タブを選択し、該当する Active Directory コネクタを選択します。 Actions ペインで、Properties を選択して Properties ダイアログ ボックスを開きます。
Properties ウィンドウの左側のウィンドウで、[Active Directory フォレストに接続を選択し、ユーザー名として表示されるアカウント名をコピーします。
AD DS コネクタ アカウントの既存のアクセス許可を確認する
パスワード ライトバックに適切な Active Directory アクセス許可を設定するには、組み込みの ADSyncConfig PowerShell モジュールを使用。 ADSyncConfig モジュールには、Set-ADSyncPasswordWritebackPermissions コマンドレットを使用してパスワード ライトバックのアクセス許可を設定するメソッドが含まれています。
AD DS コネクタ アカウント (つまり、 MSOL_ アカウント) に特定のユーザーに対する適切なアクセス許可があるかどうかを確認するには、次のいずれかのツールを使用します。
- Microsoft 管理コンソール (MMC) でのActive Directory ユーザーとコンピューター スナップイン
- コマンド プロンプト
- PowerShell
Active Directory ユーザーとコンピューター スナップイン
Active Directory ユーザーとコンピューターには MMC スナップインを使用します。 次のステップを実行します。
Startを選択し、「dsa.msc」と入力し、検索結果でActive Directory ユーザーとコンピューター スナップインを選択します。
View>Advanced Features を選択します。
コンソール ツリーで、アクセス許可を確認するユーザー アカウントを見つけて選択します。 次に、 Properties アイコンを選択します。
アカウントの [ Properties ] ダイアログ ボックスで、[ Security ] タブを選択し、[ Advanced ] ボタンを選択します。
アカウントの [ Advanced セキュリティ設定 ] ダイアログ ボックスで、[ 有効なアクセス許可 ] タブを選択します。次に、 Group またはユーザー名 セクションで、 Select ボタンを選択します。
ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスで選択を選択>今すぐ検索選択リストを表示します。 [ 検索結果 ボックスで、 MSOL_ アカウント名を選択します。
OK 2 回選択して、[セキュリティ設定] ダイアログ ボックスの [有効なアクセス許可] タブに戻ります。 これで、ユーザー アカウントに割り当てられている MSOL_ アカウントの有効なアクセス許可の一覧を表示できるようになりました。 パスワード ライトバックに必要な既定のアクセス許可の一覧は、この記事の「 ユーザー オブジェクトに対するアクセス許可 」セクションに示されています。
コマンド プロンプト
dsacls コマンドを使用して、AD DS コネクタ アカウントのアクセス制御リスト (ACL またはアクセス許可) を表示します。 次のコマンドは、コマンド出力をテキスト ファイルに格納しますが、コンソールに出力を表示するように変更することもできます。
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
このメソッドを使用して、任意の Active Directory オブジェクトのアクセス許可を分析できます。 ただし、テキスト出力が並べ替えられていないため、オブジェクト間で権限を比較することは役に立ちません。
PowerShell
Get-Acl コマンドレットを使用して AD DS コネクタ アカウントのアクセス許可を取得し、次のように Export-Clixml コマンドレットを使用して出力を XML ファイルとして格納します。
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
PowerShell メソッドは、オフライン分析に役立ちます。 Import-Clixml コマンドレットを使用してファイルをインポートできます。 また、ACL の元の構造とそのプロパティも保持されます。 このメソッドを使用して、任意の Active Directory オブジェクトのアクセス許可を分析できます。
アクセス許可を修正するときにレプリケーションの問題を回避する
Active Directory のアクセス許可を修正すると、Active Directory に対する変更がすぐに有効にならない場合があります。 Active Directory のアクセス許可も、Active Directory オブジェクトと同じ方法でフォレスト全体のレプリケーションの対象となります。 Active Directory レプリケーションの問題や遅延を軽減するにはどうすればよいですか? Microsoft Entra Connect で優先ドメイン コントローラーを設定し、そのドメイン コントローラーでのみ変更を行います。 Active Directory ユーザーとコンピューター スナップインを使用する場合は、コンソール ツリーでドメイン ルートを右クリックし、Change ドメイン コントローラーメニュー項目を選択し、同じ優先ドメイン コントローラーを選択します。
Active Directory 内で簡単にサニティ チェックを行う場合は、 dcdiag コマンドを使用してドメイン コントローラー診断を実行します。 次に、 repadmin /replsummary コマンドを実行して、レプリケーションの問題の概要を表示します。 次のコマンドは、コマンド出力をテキスト ファイルに格納しますが、コンソールに出力を表示するように変更できます。
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Active Directory ドメイン ルートに必要なアクセス許可
このセクションでは、Active Directory ドメイン ルートでのパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 このルートと Active Directory フォレストのルートを混同しないでください。 フォレストには、複数の Active Directory ドメインを含めることができます。 パスワード ライトバックをそのドメインのユーザーに対して機能させるには、各ドメインに適切なアクセス許可が独自のルートに設定されている必要があります。
ドメイン ルートのセキュリティ プロパティで、既存の Active Directory アクセス許可を表示できます。 次のステップを実行します。
Active Directory ユーザーとコンピューターのスナップインを開きます。
コンソール ツリーで、Active Directory ドメイン ルートを見つけて選択し、 Properties アイコンを選択します。
アカウントの Properties ダイアログ ボックスで、 Security タブを選択します。
次の各サブセクションには、ドメイン ルートの既定のアクセス許可のテーブルが含まれています。 次の表は、サブセクションのタイトルにあるグループ名またはユーザー名に必要なアクセス許可エントリを示しています。 各グループまたはユーザー名の要件に一致するように現在のアクセス許可エントリを表示および変更するには、各サブセクションの次の手順に従います。
[ セキュリティ ] タブで、[ Advanced ] ボタンを選択して、[ Advanced セキュリティ設定 ] ダイアログ ボックスを表示します。 [ Permissions ] タブには、各 Active Directory ID (プリンシパル) のドメイン ルートアクセス許可の現在の一覧が表示されます。
現在のアクセス許可の一覧を、各 Active Directory ID (プリンシパル) の既定のアクセス許可の一覧と比較します。
必要に応じて、 追加 を選択して、現在の一覧に含まれていない必要なアクセス許可エントリを追加します。 または、アクセス許可エントリを選択し、 Edit を選択してそのエントリを要件を満たすように変更します。 現在のアクセス許可エントリがサブセクション テーブルと一致するまで、この手順を繰り返します。
OKを選択して[セキュリティ設定ダイアログ ボックスの変更を受け入れ、Properties ダイアログ ボックスに戻ります。
Note
Active Directory ドメイン ルートに対するアクセス許可は、親コンテナーから継承されません。
AD DS コネクタ アカウントのルートの既定のアクセス許可 (許可)
| 権限 | [適用対象] |
|---|---|
| パスワードのリセット | ユーザーの子孫オブジェクト |
| (空白) | 子孫 msDS-Device オブジェクト |
| ディレクトリの変更のレプリケート | このオブジェクトのみ |
| ディレクトリの変更すべてのレプリケート | このオブジェクトのみ |
| すべてのプロパティの読み取り | 子孫 publicFolder オブジェクト |
| すべてのプロパティの読み取り/書き込み | InetOrgPerson の子孫オブジェクト |
| すべてのプロパティの読み取り/書き込み | グループの子孫オブジェクト |
| すべてのプロパティの読み取り/書き込み | ユーザーの子孫オブジェクト |
| すべてのプロパティの読み取り/書き込み | 連絡先の子孫オブジェクト |
認証済みユーザーのルートの既定のアクセス許可 (許可)
| 権限 | [適用対象] |
|---|---|
| ユーザーごとの暗号化を元に戻す暗号化されたパスワードを有効にする | このオブジェクトのみ |
| Unexpire password | このオブジェクトのみ |
| パスワードを更新する必要はありませんビット | このオブジェクトのみ |
| スペシャル | このオブジェクトのみ |
| (空白) | このオブジェクトとすべての子孫オブジェクト |
すべてのユーザーのルートの既定のアクセス許可 (拒否 + 許可)
| Type | 権限 | [適用対象] |
|---|---|---|
| 拒否 | すべての子オブジェクトを削除 | このオブジェクトのみ |
| Allow | すべてのプロパティの読み取り | このオブジェクトのみ |
Windows 2000 より前の互換性のあるアクセスのルートの既定のアクセス許可 (許可)
| 権限 | [適用対象] |
|---|---|
| スペシャル | InetOrgPerson の子孫オブジェクト |
| スペシャル | グループの子孫オブジェクト |
| スペシャル | ユーザーの子孫オブジェクト |
| スペシャル | このオブジェクトのみ |
| 内容の一覧表示 | このオブジェクトとすべての子孫オブジェクト |
SELF のルートの既定のアクセス許可 (許可)
| 権限 | [適用対象] |
|---|---|
| (空白) | このオブジェクトとすべての子孫オブジェクト |
| スペシャル | すべての子孫オブジェクト |
| 検証済みのコンピューター属性への書き込み | コンピュータの子孫オブジェクト |
| (空白) | コンピュータの子孫オブジェクト |
ユーザー オブジェクトに必要なアクセス許可
このセクションでは、パスワードを更新する必要があるターゲット ユーザー オブジェクトに対するパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 既存のセキュリティ アクセス許可を表示するには、次の手順に従って、ユーザー オブジェクトのセキュリティ プロパティを表示します。
Active Directory ユーザーとコンピューター スナップインに戻ります。
コンソール ツリーまたは Action>Find メニュー項目を使用してターゲット ユーザー オブジェクトを選択し、 Properties アイコンを選択します。
アカウントの Properties ダイアログ ボックスで、 Security タブを選択します。
次の各サブセクションには、ユーザーの既定のアクセス許可のテーブルが含まれています。 次の表は、サブセクションのタイトルにあるグループ名またはユーザー名に必要なアクセス許可エントリを示しています。 各グループまたはユーザー名の要件に一致するように現在のアクセス許可エントリを表示および変更するには、各サブセクションの次の手順に従います。
[ セキュリティ ] タブで、[ Advanced ] ボタンを選択して、[ Advanced セキュリティ設定 ] ダイアログ ボックスを表示します。
ダイアログ ボックスの下部近くに [ 可能な継承 ] ボタンが表示されていることを確認します。 代わりに [ 有効な継承 ] ボタンが表示されている場合は、そのボタンを選択します。 継承の有効化機能を使用すると、親コンテナーと組織単位からのすべてのアクセス許可をこのオブジェクトに継承できます。 この変更により、問題が解決されます。
Permissions タブで、現在のアクセス許可の一覧を、各 Active Directory ID (プリンシパル) の既定のアクセス許可の一覧と比較します。 Permissions タブには、各 Active Directory ID (プリンシパル) の現在のユーザー アクセス許可の一覧が表示されます。
必要に応じて、 追加 を選択して、現在の一覧に含まれていない必要なアクセス許可エントリを追加します。 または、アクセス許可エントリを選択し、 Edit を選択してそのエントリを要件を満たすように変更します。 現在のアクセス許可エントリがサブセクション テーブルと一致するまで、この手順を繰り返します。
[ OK を選択して [ Advanced セキュリティ設定 ] ダイアログ ボックスの変更を受け入れ、[ プロパティ ] ダイアログ ボックスに戻ります。
Note
Active Directory ドメイン ルートとは異なり、ユーザー オブジェクトに必要なアクセス許可は、通常、ドメイン ルートまたは親コンテナーまたは組織単位から継承されます。 オブジェクトに直接設定されたアクセス許可は、 None からの継承を示します。 アクセス制御エントリ (ACE) の継承は、アクセス許可の Type、 Principal、 Access、 Applies to 列の値が同じである限り重要ではありません。 ただし、特定のアクセス許可はドメイン ルートでのみ設定できます。 これらのエンティティは、サブセクションの表に一覧表示されます。
AD DS コネクタ アカウントのユーザーの既定のアクセス許可 (許可)
| 権限 | 継承元 | [適用対象] |
|---|---|---|
| パスワードのリセット | <ドメイン ルート> | ユーザーの子孫オブジェクト |
| (空白) | <ドメイン ルート> | 子孫 msDS-Device オブジェクト |
| すべてのプロパティの読み取り | <ドメイン ルート> | 子孫 publicFolder オブジェクト |
| すべてのプロパティの読み取り/書き込み | <ドメイン ルート> | InetOrgPerson の子孫オブジェクト |
| すべてのプロパティの読み取り/書き込み | <ドメイン ルート> | グループの子孫オブジェクト |
| すべてのプロパティの読み取り/書き込み | <ドメイン ルート> | ユーザーの子孫オブジェクト |
| すべてのプロパティの読み取り/書き込み | <ドメイン ルート> | 連絡先の子孫オブジェクト |
認証済みユーザーのユーザーの既定のアクセス許可 (許可)
| 権限 | 継承元 | [適用対象] |
|---|---|---|
| 一般的な情報を読み取る | なし | このオブジェクトのみ |
| パブリック情報の読み取り | なし | このオブジェクトのみ |
| 個人情報の読み取り | なし | このオブジェクトのみ |
| Web 情報の読み取り | なし | このオブジェクトのみ |
| 読み取りアクセス許可 | なし | このオブジェクトのみ |
| Exchange 情報の読み取り | <ドメイン ルート> | このオブジェクトとすべての子孫オブジェクト |
Everyone のユーザーの既定のアクセス許可 (許可)
| 権限 | 継承元 | [適用対象] |
|---|---|---|
| パスワードの変更 | なし | このオブジェクトのみ |
Windows 2000 互換アクセス (許可) に対するユーザーの既定のアクセス許可
この表の Special 権限には、 List コンテンツ、 Read all properties、および Read 権限 権限が含まれます。
| 権限 | 継承元 | [適用対象] |
|---|---|---|
| スペシャル | <ドメイン ルート> | InetOrgPerson の子孫オブジェクト |
| スペシャル | <ドメイン ルート> | グループの子孫オブジェクト |
| スペシャル | <ドメイン ルート> | ユーザーの子孫オブジェクト |
| 内容の一覧表示 | <ドメイン ルート> | このオブジェクトとすべての子孫オブジェクト |
SELF のユーザーの既定のアクセス許可 (許可)
この表の Special アクセス許可には、 Read/Write の個人情報 権限のみが含まれます。
| 権限 | 継承元 | [適用対象] |
|---|---|---|
| パスワードの変更 | なし | このオブジェクトのみ |
| [次のユーザーとして送信] | なし | このオブジェクトのみ |
| Receive as | なし | このオブジェクトのみ |
| 個人情報の読み取り/書き込み | なし | このオブジェクトのみ |
| 電話とメールのオプションの読み取り/書き込み | なし | このオブジェクトのみ |
| Web 情報の読み取り/書き込み | なし | このオブジェクトのみ |
| スペシャル | なし | このオブジェクトのみ |
| 検証済みのコンピューター属性への書き込み | <ドメイン ルート> | コンピュータの子孫オブジェクト |
| (空白) | <ドメイン ルート> | コンピュータの子孫オブジェクト |
| (空白) | <ドメイン ルート> | このオブジェクトとすべての子孫オブジェクト |
| スペシャル | <ドメイン ルート> | このオブジェクトとすべての子孫オブジェクト |
SAM サーバー オブジェクトに必要なアクセス許可
このセクションでは、Security Account Manager (SAM) サーバー オブジェクト (CN=Server,CN=System,DC=Contoso,DC=com) に対するパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 SAM サーバー オブジェクト (samServer) のセキュリティ プロパティを検索するには、次の手順に従います。
Active Directory ユーザーとコンピューター スナップインに戻ります。
コンソール ツリーで、 System コンテナーを見つけて選択します。
Server (samServer オブジェクト) を見つけて選択し、Properties アイコンを選択します。
オブジェクトの Properties ダイアログ ボックスで、 Security タブを選択します。
[Advanced セキュリティ設定] ダイアログ ボックスを選択します。 Permissions タブには、各 Active Directory ID (プリンシパル) に対する samServer オブジェクトのアクセス許可の現在の一覧が表示されます。
samServer オブジェクトのアクセス制御エントリに、次のプリンシパルの少なくとも 1 つが表示されていることを確認します。 Pre-Windows 2000 互換アクセスのみが一覧表示されている場合は、認証されたユーザーがこの組み込みグループのメンバーであることを確認します。
Windows 2000 より前の互換性のあるアクセスのアクセス許可 (許可)
特殊 アクセス許可には、 List コンテンツ、 Read all properties、および Read 権限 権限が含まれている必要があります。
認証済みユーザーのアクセス許可 (許可)
特殊 アクセス許可には、 List コンテンツ、 Read all properties、および Read 権限 権限が含まれている必要があります。
組み込みコンテナーに必要なアクセス許可
このセクションでは、組み込みコンテナーでのパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 既存のセキュリティ アクセス許可を表示するには、次の手順に従って、組み込みオブジェクトのセキュリティ プロパティを取得します。
Active Directory ユーザーとコンピューター スナップインに開きます。
コンソール ツリーで、 Builtin コンテナーを見つけて選択し、 Properties アイコンを選択します。
アカウントの Properties ダイアログ ボックスで、 Security タブを選択します。
[Advanced] ボタンを選択して、[Advanced セキュリティ設定] ダイアログ ボックスを表示します。 Permissions タブには、各 Active Directory ID (プリンシパル) の組み込みコンテナーのアクセス許可の現在の一覧が表示されます。
次のように、この現在のアクセス許可リストを、 MSOL_ アカウントに必要な許可アクセス許可の一覧と比較します。
権限 継承元 [適用対象] すべてのプロパティの読み取り/書き込み <ドメイン ルート> InetOrgPerson の子孫オブジェクト すべてのプロパティの読み取り/書き込み <ドメイン ルート> グループの子孫オブジェクト すべてのプロパティの読み取り/書き込み <ドメイン ルート> ユーザーの子孫オブジェクト すべてのプロパティの読み取り/書き込み <ドメイン ルート> 連絡先の子孫オブジェクト 必要に応じて、 追加 を選択して、現在の一覧に含まれていない必要なアクセス許可エントリを追加します。 または、アクセス許可エントリを選択し、 Edit を選択してそのエントリを要件を満たすように変更します。 現在のアクセス許可エントリがサブセクション テーブルと一致するまで、この手順を繰り返します。
OKを選択して[セキュリティ設定]ダイアログ ボックスを終了し、[プロパティ] ダイアログ ボックスに戻ります。
その他の必要な Active Directory アクセス許可
Pre-Windows 2000 互換アクセスグループのプロパティで、Members タブに移動し、認証されたユーザーがこのグループのメンバーであることを確認します。 そうしないと、Microsoft Entra Connect と Active Directory (特に古いバージョン) でのパスワード ライトバックに影響する問題が発生する可能性があります。
必要なドメイン グループ ポリシー
正しいドメイン グループ ポリシーがあることを確認するには、次の手順に従います。
Startを選択し、「secpol.msc」と入力し、検索結果で [セキュリティ ポリシーを選択します。
コンソール ツリーの [ セキュリティ設定で、 [ローカル ポリシー] を展開し、[ユーザー権利の割り当て ] を選択。
ポリシーの一覧で、 認証後にクライアントを偽装するを選択し、 Properties アイコンを選択します。
[ プロパティ ] ダイアログ ボックスで、[ ローカル セキュリティ設定 ] タブに次のグループが表示されていることを確認します。
- 管理者
- ローカル サービス
- NETWORK SERVICE
- SERVICE
詳細については、認証後にクライアントを偽装するポリシーの既定値を参照してください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。