Problemen met toegangsrechten en machtigingen oplossen voor het terugschrijven van wachtwoorden
In dit artikel worden de toegangsrechten en machtigingen beschreven die vereist zijn in de domeinhoofdmap, het gebruikersobject en de ingebouwde container in Active Directory. Ook worden de volgende items besproken:
- Vereist domeingroepsbeleid
- Het Active Directory-domein Services-connectoraccount (AD DS) identificeren dat door Microsoft Entra Connect wordt gebruikt
- Bestaande machtigingen voor dat account controleren
- Replicatieproblemen voorkomen
Deze informatie kan u helpen bij het oplossen van specifieke problemen die betrekking hebben op het terugschrijven van wachtwoorden.
Het AD DS Connector-account identificeren
Voordat u op machtigingen voor wachtwoord terugschrijven controleert, controleert u het huidige AD DS Connector-account (ook wel het MSOL_ -account genoemd) in Microsoft Entra Connect. Als u dit account controleert, kunt u voorkomen dat u de verkeerde stappen uitvoert tijdens het oplossen van problemen met het terugschrijven van wachtwoorden.
Het AD DS Connector-account identificeren:
Open Synchronization Service Manager. Hiervoor selecteert u Start, voert u Microsoft Entra Connect in, selecteert u Microsoft Entra Connect in de zoekresultaten en selecteert u vervolgens De synchronisatieservice.
Selecteer het tabblad Connectors en selecteer vervolgens de toepasselijke Active Directory-connector. Selecteer Eigenschappen in het deelvenster Acties om het dialoogvenster Eigenschappen te openen.
Selecteer in het linkerdeelvenster van het venster Eigenschappen de optie Verbinding maken met Active Directory-forest en kopieer de accountnaam die wordt weergegeven als gebruikersnaam.
Bestaande machtigingen van het AD DS Connector-account controleren
Als u de juiste Active Directory-machtigingen voor wachtwoord terugschrijven wilt instellen, gebruikt u de ingebouwde POWERShell-module ADSyncConfig. De MODULE ADSyncConfig bevat een methode voor het instellen van machtigingen voor wachtwoord terugschrijven met behulp van de cmdlet Set-ADSyncPasswordWritebackPermissions .
Gebruik een van de volgende hulpprogramma's om te controleren of het AD DS Connector-account (het MSOL_ -account) de juiste machtigingen heeft voor een specifieke gebruiker:
- Active Directory module in de Microsoft Management Console (MMC)
- Opdrachtprompt
- Powershell
Module Active Directory-gebruikers en computers
Gebruik de MMC-module voor Active Directory. Volg vervolgens deze stappen:
Selecteer Start, voer dsa.msc in en selecteer vervolgens de Active Directory module in de zoekresultaten.
Selecteer Geavanceerde functies weergeven>.
Zoek en selecteer in de consolestructuur het gebruikersaccount waarvoor u de machtigingen wilt controleren. Selecteer vervolgens het pictogram Eigenschappen .
Selecteer in het dialoogvenster Eigenschappen voor het account het tabblad Beveiliging en selecteer vervolgens de knop Geavanceerd .
Selecteer in het dialoogvenster Geavanceerde beveiligingsinstellingen voor het account het tabblad Effectieve machtigingen . Selecteer vervolgens in de sectie Groep of gebruikersnaam de knop Selecteren .
In het dialoogvenster Gebruiker, Computer of Groep selecteren selecteert u> Nu geavanceerd zoeken om de selectielijst weer te geven. Selecteer in het vak Zoekresultaten de MSOL_ accountnaam.
Selecteer TWEE keer OK om terug te keren naar het tabblad Effectieve machtigingen in het dialoogvenster Geavanceerde beveiligingsinstellingen . U kunt nu de lijst met effectieve machtigingen bekijken voor het MSOL_ -account dat is toegewezen aan het gebruikersaccount. De lijst met de standaardmachtigingen die vereist zijn voor wachtwoord terugschrijven, wordt weergegeven in de sectie Vereiste machtigingen voor het gebruikersobject in dit artikel.
Opdrachtprompt
Gebruik de opdracht dsacls om de toegangsbeheerlijsten (ACL's of machtigingen) van het AD DS Connector-account weer te geven. Met de volgende opdracht wordt de uitvoer van de opdracht opgeslagen in een tekstbestand, hoewel u deze kunt wijzigen om de uitvoer weer te geven op de console:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
U kunt deze methode gebruiken om de machtigingen voor elk Active Directory-object te analyseren. Het is echter niet handig om machtigingen tussen objecten te vergelijken omdat de tekstuitvoer niet is gesorteerd.
Powershell
Gebruik de cmdlet Get-Acl om de machtigingen voor het AD DS Connector-account op te halen en sla de uitvoer vervolgens op als een XML-bestand met behulp van de cmdlet Export-Clixml :
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
De PowerShell-methode is handig voor offlineanalyse. Hiermee kunt u het bestand importeren met behulp van de cmdlet Import-Clixml . Het behoudt ook de oorspronkelijke structuur van de ACL en de eigenschappen ervan. U kunt deze methode gebruiken om de machtigingen voor elk Active Directory-object te analyseren.
Replicatieproblemen voorkomen bij het oplossen van machtigingen
Wanneer u Active Directory-machtigingen herstelt, worden de wijzigingen in Active Directory mogelijk niet onmiddellijk van kracht. Active Directory-machtigingen zijn ook onderhevig aan replicaties in het forest op dezelfde manier als Active Directory-objecten. Hoe beperkt u de problemen of vertragingen met Active Directory-replicatie? U stelt een voorkeursdomeincontroller in Microsoft Entra Connect in en werkt alleen aan die domeincontroller voor wijzigingen. Wanneer u de Active Directory-module gebruikt, klikt u met de rechtermuisknop op de hoofdmap van het domein in de consolestructuur, selecteert u het menu-item Domeincontroller wijzigen en kiest u vervolgens dezelfde voorkeursdomeincontroller.
Voer domeincontrollerdiagnose uit met behulp van de dcdiag-opdracht voor een snelle saniteitscontrole in Active Directory. Voer vervolgens de opdracht repadmin /replsummary uit om een overzicht van replicatieproblemen weer te geven. Met de volgende opdrachten wordt de uitvoer van de opdracht opgeslagen in tekstbestanden, hoewel u deze kunt wijzigen om de uitvoer weer te geven op de console:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Vereiste machtigingen voor de hoofdmap van het Active Directory-domein
In deze sectie worden de verwachte Active Directory-machtigingen voor wachtwoord terugschrijven in de hoofdmap van het Active Directory-domein beschreven. Verwar deze hoofdmap niet met de hoofdmap van het Active Directory-forest. Een forest kan meerdere Active Directory-domeinen hebben. Elk domein moet de juiste machtigingen hebben ingesteld in de eigen hoofdmap, zodat wachtwoord terugschrijven kan werken voor gebruikers in dat domein.
U kunt de bestaande Active Directory-machtigingen bekijken in de beveiligingseigenschappen van de hoofdmap van het domein. Volg vervolgens deze stappen:
Open de module Active Directory: gebruikers en computers.
Zoek en selecteer in de consolestructuur de hoofdmap van het Active Directory-domein en selecteer vervolgens het pictogram Eigenschappen .
Selecteer in het dialoogvenster Eigenschappen voor het account het tabblad Beveiliging .
Elk van de volgende subsecties bevat een tabel met standaardmachtigingen voor de domeinhoofdmap. In deze tabel ziet u de vereiste machtigingsvermeldingen voor de groep of gebruikersnaam die zich in de subsectietitel bevindt. Als u de huidige machtigingsitems wilt weergeven en wijzigen zodat deze overeenkomen met de vereisten voor elke groep of gebruikersnaam, voert u de volgende stappen uit voor elke subsectie:
Selecteer op het tabblad Beveiliging de knop Geavanceerd om het dialoogvenster Geavanceerde beveiligingsinstellingen weer te geven . Op het tabblad Machtigingen ziet u de huidige lijst met domeinhoofdmachtigingen voor elke Active Directory-identiteit (principal).
Vergelijk de huidige lijst met machtigingen met de lijst met standaardmachtigingen voor elke Active Directory-identiteit (principal).
Selecteer indien nodig Toevoegen om vereiste machtigingsvermeldingen toe te voegen die ontbreken in de huidige lijst. Of selecteer een machtigingsvermelding en selecteer Vervolgens Bewerken om die vermelding te wijzigen om aan de vereiste te voldoen. Herhaal deze stap totdat de huidige machtigingsitems overeenkomen met de subsectietabel.
Selecteer OK om de wijzigingen in het dialoogvenster Geavanceerde beveiligingsinstellingen te accepteren en ga terug naar het dialoogvenster Eigenschappen .
Notitie
De machtigingen voor de hoofdmap van het Active Directory-domein worden niet overgenomen van een bovenliggende container.
Basismachtigingen voor het AD DS Connector-account (toestaan)
| Machtiging | Van toepassing op |
|---|---|
| Wachtwoord opnieuw instellen | Onderliggende gebruikersobjecten |
| (leeg) | Onderliggende msDS-Device-objecten |
| Directorywijzigingen repliceren | Alleen dit object |
| Alle directorywijzigingen repliceren | Alleen dit object |
| Alle eigenschappen lezen | Onderliggende publicFolder-objecten |
| Alle eigenschappen lezen/schrijven | Onderliggende InetOrgPerson-objecten |
| Alle eigenschappen lezen/schrijven | Onderliggende groepsobjecten |
| Alle eigenschappen lezen/schrijven | Onderliggende gebruikersobjecten |
| Alle eigenschappen lezen/schrijven | Onderliggende contactpersoonobjecten |
Basismachtigingen voor geverifieerde gebruikers (toestaan)
| Machtiging | Van toepassing op |
|---|---|
| Omkeerbaar versleuteld wachtwoord per gebruiker inschakelen | Alleen dit object |
| Niet-verlopen wachtwoord | Alleen dit object |
| Wachtwoord niet vereist bit bijwerken | Alleen dit object |
| Speciaal | Alleen dit object |
| (leeg) | Dit object en alle onderliggende objecten |
Standaardmachtigingen voor hoofdmap voor iedereen (Weigeren en toestaan)
| Type | Machtiging | Van toepassing op |
|---|---|---|
| Weigeren | Alle onderliggende objecten verwijderen | Alleen dit object |
| Toestaan | Alle eigenschappen lezen | Alleen dit object |
Basismachtigingen voor pre-Windows 2000 Compatibele toegang (toestaan)
| Machtiging | Van toepassing op |
|---|---|
| Speciaal | Onderliggende InetOrgPerson-objecten |
| Speciaal | Onderliggende groepsobjecten |
| Speciaal | Onderliggende gebruikersobjecten |
| Speciaal | Alleen dit object |
| Inhoud van lijst | Dit object en alle onderliggende objecten |
Standaardmachtigingen hoofdmap voor SELF (toestaan)
| Machtiging | Van toepassing op |
|---|---|
| (leeg) | Dit object en alle onderliggende objecten |
| Speciaal | Alle onderliggende objecten |
| Gevalideerde schrijfbewerking naar computerkenmerken | Onderliggende computerobjecten |
| (leeg) | Onderliggende computerobjecten |
Vereiste machtigingen voor het gebruikersobject
In deze sectie worden de verwachte Active Directory-machtigingen voor wachtwoord terugschrijven beschreven voor het doelgebruikersobject dat het wachtwoord moet bijwerken. Als u de bestaande beveiligingsmachtigingen wilt weergeven, volgt u deze stappen om de beveiligingseigenschappen van het gebruikersobject weer te geven:
Ga terug naar de module Active Directory.
Gebruik de consolestructuur of het menu-item Actie>zoeken om het doelgebruikersobject te selecteren en selecteer vervolgens het pictogram Eigenschappen.
Selecteer in het dialoogvenster Eigenschappen voor het account het tabblad Beveiliging .
Elk van de volgende subsecties bevat een tabel met standaardmachtigingen voor gebruikers. In deze tabel ziet u de vereiste machtigingsvermeldingen voor de groep of gebruikersnaam die zich in de subsectietitel bevindt. Als u de huidige machtigingsitems wilt weergeven en wijzigen zodat deze overeenkomen met de vereisten voor elke groep of gebruikersnaam, voert u de volgende stappen uit voor elke subsectie:
Selecteer op het tabblad Beveiliging de knop Geavanceerd om het dialoogvenster Geavanceerde beveiligingsinstellingen weer te geven .
Zorg ervoor dat de knop Overname uitschakelen onderaan het dialoogvenster wordt weergegeven. Als in plaats daarvan de knop Overname inschakelen wordt weergegeven, selecteert u die knop. Met de functie overname inschakelen kunnen alle machtigingen van bovenliggende containers en organisatie-eenheden worden overgenomen door dit object. Met deze wijziging wordt het probleem opgelost.
Vergelijk op het tabblad Machtigingen de huidige machtigingenlijst met de lijst met standaardmachtigingen voor elke Active Directory-identiteit (principal). Op het tabblad Machtigingen wordt de huidige lijst met gebruikersmachtigingen voor elke Active Directory-identiteit (principal) weergegeven.
Selecteer indien nodig Toevoegen om vereiste machtigingsvermeldingen toe te voegen die ontbreken in de huidige lijst. Of selecteer een machtigingsvermelding en selecteer Vervolgens Bewerken om die vermelding te wijzigen om aan de vereiste te voldoen. Herhaal deze stap totdat de huidige machtigingsitems overeenkomen met de subsectietabel.
Selecteer OK om de wijzigingen te accepteren in het dialoogvenster Geavanceerde beveiligingsinstellingen en ga terug naar het dialoogvenster Eigenschappen .
Notitie
In tegenstelling tot de hoofdmap van het Active Directory-domein, worden de vereiste machtigingen voor het gebruikersobject meestal overgenomen van de hoofdmap van het domein of van een bovenliggende container of organisatie-eenheid. Machtigingen die rechtstreeks op het object zijn ingesteld, geven een overname van Geen aan. De overname van de toegangsbeheervermelding (ACE) is niet belangrijk zolang de waarden in het type, principal, toegang en van toepassing zijn op kolommen voor de machtiging hetzelfde zijn. Bepaalde machtigingen kunnen echter alleen worden ingesteld in de hoofdmap van het domein. Deze entiteiten worden vermeld in de subsectietabellen.
Standaardmachtigingen van gebruikers voor het AD DS Connector-account (toestaan)
| Machtiging | Overgenomen van | Van toepassing op |
|---|---|---|
| Wachtwoord opnieuw instellen | <domeinhoofdmap> | Onderliggende gebruikersobjecten |
| (leeg) | <domeinhoofdmap> | Onderliggende msDS-Device-objecten |
| Alle eigenschappen lezen | <domeinhoofdmap> | Onderliggende publicFolder-objecten |
| Alle eigenschappen lezen/schrijven | <domeinhoofdmap> | Onderliggende InetOrgPerson-objecten |
| Alle eigenschappen lezen/schrijven | <domeinhoofdmap> | Onderliggende groepsobjecten |
| Alle eigenschappen lezen/schrijven | <domeinhoofdmap> | Onderliggende gebruikersobjecten |
| Alle eigenschappen lezen/schrijven | <domeinhoofdmap> | Onderliggende contactpersoonobjecten |
Standaardmachtigingen voor geverifieerde gebruikers (toestaan)
| Machtiging | Overgenomen van | Van toepassing op |
|---|---|---|
| Algemene informatie lezen | Geen | Alleen dit object |
| Openbare informatie lezen | Geen | Alleen dit object |
| Persoonlijke gegevens lezen | Geen | Alleen dit object |
| Webgegevens lezen | Geen | Alleen dit object |
| Machtigingen voor lezen | Geen | Alleen dit object |
| Exchange-informatie lezen | <domeinhoofdmap> | Dit object en alle onderliggende objecten |
Standaardmachtigingen voor gebruikers voor iedereen (toestaan)
| Machtiging | Overgenomen van | Van toepassing op |
|---|---|---|
| Wachtwoord wijzigen | Geen | Alleen dit object |
Standaardmachtigingen van gebruikers voor pre-Windows 2000 compatibele toegang (toestaan)
De speciale machtigingen in deze tabel bevatten de inhoud van de lijst, alle eigenschappen lezen en machtigingen voor lezen .
| Machtiging | Overgenomen van | Van toepassing op |
|---|---|---|
| Speciaal | <domeinhoofdmap> | Onderliggende InetOrgPerson-objecten |
| Speciaal | <domeinhoofdmap> | Onderliggende groepsobjecten |
| Speciaal | <domeinhoofdmap> | Onderliggende gebruikersobjecten |
| Inhoud van lijst | <domeinhoofdmap> | Dit object en alle onderliggende objecten |
Standaardmachtigingen voor de gebruiker voor SELF (toestaan)
De speciale machtigingen in deze tabel bevatten alleen de rechten voor persoonlijke gegevens lezen/schrijven.
| Machtiging | Overgenomen van | Van toepassing op |
|---|---|---|
| Wachtwoord wijzigen | Geen | Alleen dit object |
| Verzenden als | Geen | Alleen dit object |
| Ontvangen als | Geen | Alleen dit object |
| Persoonlijke gegevens lezen/schrijven | Geen | Alleen dit object |
| Opties voor lezen/schrijven van telefoon en e-mail | Geen | Alleen dit object |
| Webgegevens lezen/schrijven | Geen | Alleen dit object |
| Speciaal | Geen | Alleen dit object |
| Gevalideerde schrijfbewerking naar computerkenmerken | <domeinhoofdmap> | Onderliggende computerobjecten |
| (leeg) | <domeinhoofdmap> | Onderliggende computerobjecten |
| (leeg) | <domeinhoofdmap> | Dit object en alle onderliggende objecten |
| Speciaal | <domeinhoofdmap> | Dit object en alle onderliggende objecten |
Vereiste machtigingen voor het SAM-serverobject
In deze sectie worden de verwachte Active Directory-machtigingen voor wachtwoord terugschrijven op het SAM-serverobject (Security Account Manager) (CN=Server,CN=System,DC=Contoso,DC=com) beschreven. Voer de volgende stappen uit om de beveiligingseigenschappen van het SAM-serverobject (samServer) te vinden:
Ga terug naar de module Active Directory.
Zoek en selecteer de systeemcontainer in de consolestructuur.
Zoek en selecteer Server (het samServer-object) en selecteer vervolgens het pictogram Eigenschappen .
Selecteer in het dialoogvenster Eigenschappen voor het object het tabblad Beveiliging .
Selecteer het dialoogvenster Geavanceerde beveiligingsinstellingen . Op het tabblad Machtigingen wordt de huidige lijst met samServer-objectmachtigingen weergegeven voor elke Active Directory-identiteit (principal).
Controleer of ten minste een van de volgende principals wordt vermeld in de vermelding voor toegangsbeheer voor het samServer-object. Als alleen pre-Windows 2000 Compatibele toegang wordt vermeld, moet u ervoor zorgen dat geverifieerde gebruikers lid zijn van deze ingebouwde groep.
Machtigingen voor pre-Windows 2000 Compatibele toegang (toestaan)
Speciale machtigingen moeten de inhoud van de lijst bevatten, alle eigenschappen lezen en machtigingen voor lezen.
Machtigingen voor geverifieerde gebruikers (toestaan)
Speciale machtigingen moeten de inhoud van de lijst bevatten, alle eigenschappen lezen en machtigingen voor lezen.
Vereiste machtigingen voor de ingebouwde container
In deze sectie worden de verwachte Active Directory-machtigingen voor wachtwoord terugschrijven voor de ingebouwde container beschreven. Als u de bestaande beveiligingsmachtigingen wilt weergeven, volgt u deze stappen om de beveiligingseigenschappen van het ingebouwde object te openen:
Open de Active Directory module.
Zoek en selecteer in de consolestructuur de ingebouwde container en selecteer het pictogram Eigenschappen .
Selecteer in het dialoogvenster Eigenschappen voor het account het tabblad Beveiliging .
Selecteer de knop Geavanceerd om het dialoogvenster Geavanceerde beveiligingsinstellingen weer te geven . Op het tabblad Machtigingen wordt de huidige lijst met ingebouwde containermachtigingen weergegeven voor elke Active Directory-identiteit (principal).
Vergelijk deze huidige machtigingenlijst als volgt met de lijst met vereiste toegestane machtigingen voor het MSOL_ -account.
Machtiging Overgenomen van Van toepassing op Alle eigenschappen lezen/schrijven <domeinhoofdmap> Onderliggende InetOrgPerson-objecten Alle eigenschappen lezen/schrijven <domeinhoofdmap> Onderliggende groepsobjecten Alle eigenschappen lezen/schrijven <domeinhoofdmap> Onderliggende gebruikersobjecten Alle eigenschappen lezen/schrijven <domeinhoofdmap> Onderliggende contactpersoonobjecten Selecteer indien nodig Toevoegen om vereiste machtigingsvermeldingen toe te voegen die ontbreken in de huidige lijst. Of selecteer een machtigingsvermelding en selecteer Vervolgens Bewerken om die vermelding te wijzigen om aan de vereiste te voldoen. Herhaal deze stap totdat de huidige machtigingsitems overeenkomen met de subsectietabel.
Selecteer OK om het dialoogvenster Geavanceerde beveiligingsinstellingen af te sluiten en terug te keren naar het dialoogvenster Eigenschappen .
Andere vereiste Active Directory-machtigingen
Ga in de eigenschappen van de groep Pre-Windows 2000 Compatibele toegang naar het tabblad Leden en zorg ervoor dat geverifieerde gebruikers lid zijn van deze groep. Anders kunnen er problemen optreden die van invloed zijn op wachtwoord terugschrijven in Microsoft Entra Connect en Active Directory (met name op oudere versies).
Vereist domeingroepsbeleid
Voer de volgende stappen uit om ervoor te zorgen dat u het juiste domeingroepsbeleid hebt:
Selecteer Start, voer secpol.msc in en selecteer lokaal beveiligingsbeleid in de zoekresultaten.
Vouw in de consolestructuur onder Beveiligingsinstellingen lokaal beleid uit en selecteer vervolgens Toewijzing van gebruikersrechten.
Selecteer in de lijst met beleidsregels een client imiteren na verificatie en selecteer vervolgens het pictogram Eigenschappen .
Controleer in het dialoogvenster Eigenschappen of de volgende groepen worden weergegeven op het tabblad Lokale beveiligingsinstelling :
- Beheerders
- LOKALE SERVICE
- NETWERKSERVICE
- SERVICE
Zie de standaardwaarden voor het imiteren van een client na verificatiebeleid voor meer informatie.
Contacteer ons voor hulp
Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.