Solucionar problemas de permissões e direitos de acesso de write-back de senha
Este artigo descreve os direitos de acesso e as permissões necessários na raiz do domínio, no objeto de usuário e no contêiner interno no Active Directory. Ele também discute os seguintes itens:
- Políticas de grupo de domínio necessárias
- Como identificar a conta do Conector dos Serviços de Domínio Active Directory (AD DS) que o Microsoft Entra Connect usa
- Como verificar as permissões existentes nessa conta
- Como evitar problemas de replicação
Essas informações podem ajudá-lo a solucionar problemas específicos que envolvem write-back de senha.
Identificar a conta do Conector do AD DS
Antes de verificar se há permissões de write-back de senha, verifique a conta atual do Conector do AD DS (também conhecida como conta MSOL_ ) no Microsoft Entra Connect. A verificação dessa conta ajuda a evitar etapas erradas durante a solução de problemas de write-back de senha.
Para identificar a conta do Conector do AD DS:
Abra o Gerenciador de serviço de sincronização. Para fazer isso, selecione Iniciar, insira Microsoft Entra Connect, selecione Microsoft Entra Connect nos resultados da pesquisa e selecione Serviço de Sincronização.
Selecione a guia Conectores e, em seguida, selecione o conector do Active Directory aplicável. No painel Ações, selecione Propriedades para abrir a caixa de diálogo Propriedades.
No painel esquerdo da janela Propriedades , selecione Conectar-se à Floresta do Active Directory e copie o nome da conta que aparece como Nome de usuário.
Verificar as permissões existentes da conta do Conector do AD DS
Para definir as permissões corretas do Active Directory para write-back de senha, use o módulo interno do PowerShell ADSyncConfig. O módulo ADSyncConfig inclui um método para definir permissões para write-back de senha usando o cmdlet Set-ADSyncPasswordWritebackPermissions .
Para verificar se a conta do Conector do AD DS (ou seja, a conta MSOL_ ) tem as permissões corretas para um usuário específico, use uma das seguintes ferramentas:
- Snap-in Usuários e Computadores do Active Directory no MMC (Console de Gerenciamento Microsoft)
- Prompt de comando
- PowerShell
Snap-in de Usuários e Computadores do Active Directory
Use o snap-in do MMC para usuários e computadores do Active Directory. Siga estas etapas:
Selecione Iniciar, insira dsa.msc e selecione o snap-in Usuários e Computadores do Active Directory nos resultados da pesquisa.
Selecione Exibir>recursos avançados.
Na árvore de console, localize e selecione a conta de usuário para a qual você deseja verificar as permissões. Em seguida, selecione o ícone Propriedades .
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança e, em seguida, selecione o botão Avançado.
Na caixa de diálogo Configurações de Segurança Avançadas da conta, selecione a guia Permissões Efetivas. Em seguida, na seção Grupo ou nome de usuário, selecione o botão Selecionar.
Na caixa de diálogo Selecionar Usuário, Computador ou Grupo, selecione Localizar Agora Avançado>para mostrar a lista de seleção. Na caixa Resultados da pesquisa , selecione o nome da conta MSOL_ .
Selecione OK duas vezes para retornar à guia Permissões efetivas na caixa de diálogo Configurações de segurança avançadas. Agora, você pode exibir a lista de permissões efetivas para a conta MSOL_ atribuída à conta de usuário. A lista das permissões padrão necessárias para write-back de senha é mostrada na seção Permissões necessárias no objeto de usuário neste artigo.
Prompt de comando
Use o comando dsacls para exibir as listas de controle de acesso (ACLs ou permissões) da conta do Conector do AD DS. O comando a seguir armazena a saída do comando em um arquivo de texto, embora você possa modificá-lo para exibir a saída no console:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Você pode usar esse método para analisar as permissões de qualquer objeto do Active Directory. No entanto, não é útil comparar permissões entre objetos porque a saída de texto não está classificada.
PowerShell
Use o cmdlet Get-Acl para obter as permissões de conta do Conector do AD DS e armazene a saída como um arquivo XML usando o cmdlet Export-Clixml , da seguinte maneira:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
O método do PowerShell é útil para análise offline. Ele permite que você importe o arquivo usando o cmdlet Import-Clixml . Ele também mantém a estrutura original do ACL e suas propriedades. Você pode usar esse método para analisar as permissões de qualquer objeto do Active Directory.
Evite problemas de replicação ao corrigir permissões
Quando você corrige as permissões do Active Directory, as alterações no Active Directory podem não entrar em vigor imediatamente. As permissões do Active Directory também estão sujeitas a replicações na floresta da mesma maneira que os objetos do Active Directory. Como você atenua os problemas ou atrasos de replicação do Active Directory? Você define um controlador de domínio preferencial no Microsoft Entra Connect e trabalha apenas nesse controlador de domínio para quaisquer alterações. Ao usar o snap-in Usuários e Computadores do Active Directory, clique com o botão direito do mouse na raiz do domínio na árvore de console, selecione o item de menu Alterar Controlador de Domínio e escolha o mesmo controlador de domínio preferencial.
Para uma verificação rápida de integridade no Active Directory, execute o diagnóstico do controlador de domínio usando o comando dcdiag . Em seguida, execute o comando repadmin /replsummary para exibir um resumo dos problemas de replicação. Os comandos a seguir armazenam a saída do comando em arquivos de texto, embora você possa modificá-los para exibir a saída no console:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Permissões necessárias na raiz do domínio do Active Directory
Esta seção descreve as permissões esperadas do Active Directory para write-back de senha na raiz de domínio do Active Directory. Não confunda essa raiz com a raiz da floresta do Active Directory. Uma floresta pode ter vários domínios do Active Directory. Cada domínio deve ter as permissões corretas definidas em sua própria raiz, para que o write-back de senha possa funcionar para os usuários nesse domínio.
Você pode exibir as permissões existentes do Active Directory nas propriedades de segurança da raiz do domínio. Siga estas etapas:
Abra o snap-in Usuários e Computadores do Active Directory.
Na árvore de console, localize e selecione a raiz de domínio do Active Directory e, em seguida, selecione o ícone Propriedades .
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança.
Cada uma das subseções a seguir contém uma tabela de permissões padrão de raiz de domínio. Esta tabela mostra as entradas de permissão necessárias para o nome de grupo ou usuário que está no título da subseção. Para exibir e modificar as entradas de permissão atuais para corresponder aos requisitos de cada grupo ou nome de usuário, siga estas etapas para cada subseção:
Na guia Segurança , selecione o botão Avançado para exibir a caixa de diálogo Configurações de Segurança Avançadas. A guia Permissões mostra a lista atual de permissões raiz de domínio para cada identidade do Active Directory (Principal).
Compare a lista de permissões atual com a lista de permissões padrão para cada identidade do Active Directory (Principal).
Se necessário, selecione Adicionar para adicionar as entradas de permissão necessárias que estão ausentes da lista atual. Ou selecione uma entrada de permissão e, em seguida, selecione Editar para modificar essa entrada para atender ao requisito. Repita essa etapa até que as entradas de permissão atuais correspondam à tabela de subseções.
Selecione OK para aceitar as alterações na caixa de diálogo Configurações de Segurança Avançadas e retornar à caixa de diálogo Propriedades .
Observação
As permissões na raiz do domínio do Active Directory não são herdadas de nenhum contêiner pai.
Permissões padrão raiz para a conta do Conector do AD DS (Permitir)
| Permissão | Aplicar a |
|---|---|
| Redefinir senha | Objetos de usuário descendentes |
| (blank) | Objetos msDS-Device descendentes |
| Replicar alterações de diretório | Apenas este objeto |
| Replicar todas as alterações de diretório | Apenas este objeto |
| Leia todas as propriedades | Objetos publicFolder descendentes |
| Ler/gravar todas as propriedades | Objetos descendentes de InetOrgPerson |
| Ler/gravar todas as propriedades | Objetos de grupo descendentes |
| Ler/gravar todas as propriedades | Objetos de usuário descendentes |
| Ler/gravar todas as propriedades | Objetos de contato descendentes |
Permissões padrão raiz para usuários autenticados (permitir)
| Permissão | Aplicar a |
|---|---|
| Ativar senha criptografada reversivelmente por usuário | Apenas este objeto |
| Senha não expirada | Apenas este objeto |
| Atualizar senha não é necessário bit | Apenas este objeto |
| Especial | Apenas este objeto |
| (blank) | Este objeto e todos os objetos descendentes |
Permissões padrão raiz para Todos (Negar + Permitir)
| Tipo | Permissão | Aplicar a |
|---|---|---|
| Negar | Excluir todos os objetos filho | Apenas este objeto |
| Allow | Leia todas as propriedades | Apenas este objeto |
Permissões padrão raiz para acesso compatível com pré-Windows 2000 (Permitir)
| Permissão | Aplicar a |
|---|---|
| Especial | Objetos descendentes de InetOrgPerson |
| Especial | Objetos de grupo descendentes |
| Especial | Objetos de usuário descendentes |
| Especial | Apenas este objeto |
| Listar conteúdo | Este objeto e todos os objetos descendentes |
Permissões padrão raiz para SELF (Permitir)
| Permissão | Aplicar a |
|---|---|
| (blank) | Este objeto e todos os objetos descendentes |
| Especial | Todos os objetos descendentes |
| Atributos validados de gravação no computador | Objetos de computador descendentes |
| (blank) | Objetos de computador descendentes |
Permissões necessárias no objeto de usuário
Esta seção descreve as permissões esperadas do Active Directory para write-back de senha no objeto de usuário de destino que precisa atualizar a senha. Para exibir as permissões de segurança existentes, siga estas etapas para mostrar as propriedades de segurança do objeto de usuário:
Retorne ao snap-in Usuários e Computadores do Active Directory.
Use a árvore de console ou o item de menu Localizar Ação>para selecionar o objeto de usuário de destino e, em seguida, selecione o ícone Propriedades.
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança.
Cada uma das subseções a seguir contém uma tabela de permissões padrão do usuário. Esta tabela mostra as entradas de permissão necessárias para o nome de grupo ou usuário que está no título da subseção. Para exibir e modificar as entradas de permissão atuais para corresponder aos requisitos de cada grupo ou nome de usuário, siga estas etapas para cada subseção:
Na guia Segurança , selecione o botão Avançado para exibir a caixa de diálogo Configurações de Segurança Avançadas.
Certifique-se de que o botão Desativar herança seja exibido próximo à parte inferior da caixa de diálogo. Se o botão Habilitar herança for exibido, selecione esse botão. O recurso de ativação de herança permite que todas as permissões de contêineres pai e unidades organizacionais sejam herdadas por esse objeto. Essa alteração resolve o problema.
Na guia Permissões , compare a lista de permissões atual com a lista de permissões padrão para cada identidade do Active Directory (Principal). A guia Permissões exibe a lista atual de permissões de usuário para cada identidade do Active Directory (Principal).
Se necessário, selecione Adicionar para adicionar as entradas de permissão necessárias que estão ausentes da lista atual. Ou selecione uma entrada de permissão e, em seguida, selecione Editar para modificar essa entrada para atender ao requisito. Repita essa etapa até que as entradas de permissão atuais correspondam à tabela de subseções.
Selecione OK para aceitar as alterações na caixa de diálogo Configurações de Segurança Avançadas e retornar à caixa de diálogo Propriedades .
Observação
Ao contrário da raiz de domínio do Active Directory, as permissões necessárias para o objeto de usuário geralmente são herdadas da raiz do domínio ou de um contêiner pai ou unidade organizacional. As permissões definidas diretamente no objeto indicarão uma herança de None. A herança da ACE (entrada de controle de acesso) não é importante, desde que os valores nas colunas Tipo, Principal, Acesso e Aplica-se a para a permissão sejam os mesmos. No entanto, determinadas permissões podem ser definidas apenas na raiz do domínio. Essas entidades estão listadas nas tabelas de subseção.
Permissões padrão do usuário para a conta do Conector do AD DS (Permitir)
| Permissão | Herdado de | Aplicar a |
|---|---|---|
| Redefinir senha | <raiz do domínio> | Objetos de usuário descendentes |
| (blank) | <raiz do domínio> | Objetos msDS-Device descendentes |
| Leia todas as propriedades | <raiz do domínio> | Objetos publicFolder descendentes |
| Ler/gravar todas as propriedades | <raiz do domínio> | Objetos descendentes de InetOrgPerson |
| Ler/gravar todas as propriedades | <raiz do domínio> | Objetos de grupo descendentes |
| Ler/gravar todas as propriedades | <raiz do domínio> | Objetos de usuário descendentes |
| Ler/gravar todas as propriedades | <raiz do domínio> | Objetos de contato descendentes |
Permissões padrão do usuário para usuários autenticados (Permitir)
| Permissão | Herdado de | Aplicar a |
|---|---|---|
| Leia as informações gerais | Nenhum | Apenas este objeto |
| Leia informações públicas | Nenhum | Apenas este objeto |
| Leia informações pessoais | Nenhum | Apenas este objeto |
| Leia informações da web | Nenhum | Apenas este objeto |
| Permissões de leitura | Nenhum | Apenas este objeto |
| Leia as informações do Exchange | <raiz do domínio> | Este objeto e todos os objetos descendentes |
Permissões padrão do usuário para Todos (Permitir)
| Permissão | Herdado de | Aplicar a |
|---|---|---|
| Alterar senha | Nenhum | Apenas este objeto |
Permissões padrão do usuário para acesso compatível com versões anteriores ao Windows 2000 (Permitir)
As permissões especiais nesta tabela incluem conteúdo da lista, propriedade de leitura de todas as propriedades e direitos de permissões de leitura.
| Permissão | Herdado de | Aplicar a |
|---|---|---|
| Especial | <raiz do domínio> | Objetos descendentes de InetOrgPerson |
| Especial | <raiz do domínio> | Objetos de grupo descendentes |
| Especial | <raiz do domínio> | Objetos de usuário descendentes |
| Listar conteúdo | <raiz do domínio> | Este objeto e todos os objetos descendentes |
Permissões padrão do usuário para SELF (Permitir)
As permissões especiais nesta tabela incluem apenas direitos de informações privadas de leitura/gravação.
| Permissão | Herdado de | Aplicar a |
|---|---|---|
| Alterar senha | Nenhum | Apenas este objeto |
| Enviar como | Nenhum | Apenas este objeto |
| Receber como | Nenhum | Apenas este objeto |
| Ler/gravar informações pessoais | Nenhum | Apenas este objeto |
| Opções de leitura/gravação de telefone e e-mail | Nenhum | Apenas este objeto |
| Ler/gravar informações da Web | Nenhum | Apenas este objeto |
| Especial | Nenhum | Apenas este objeto |
| Atributos validados de gravação no computador | <raiz do domínio> | Objetos de computador descendentes |
| (blank) | <raiz do domínio> | Objetos de computador descendentes |
| (blank) | <raiz do domínio> | Este objeto e todos os objetos descendentes |
| Especial | <raiz do domínio> | Este objeto e todos os objetos descendentes |
Permissões necessárias no objeto do servidor SAM
Esta seção descreve as permissões esperadas do Active Directory para write-back de senha no objeto de servidor SAM (Gerenciador de Contas de Segurança) (CN=Server,CN=System,DC=Contoso,DC=com). Para localizar as propriedades de segurança do objeto de servidor SAM (samServer), siga estas etapas:
Retorne ao snap-in Usuários e Computadores do Active Directory.
Na árvore de console, localize e selecione o contêiner Sistema.
Localize e selecione Servidor (o objeto samServer) e, em seguida, selecione o ícone Propriedades .
Na caixa de diálogo Propriedades do objeto, selecione a guia Segurança.
Selecione a caixa de diálogo Configurações de Segurança Avançadas . A guia Permissões exibe a lista atual de permissões de objeto samServer para cada identidade do Active Directory (Principal).
Verifique se pelo menos uma das entidades a seguir está listada na entrada de controle de acesso para o objeto samServer. Se apenas o Acesso Compatível com Pré-Windows 2000 estiver listado, verifique se os Usuários Autenticados são membros desse grupo interno.
Permissões para acesso compatível com versões anteriores ao Windows 2000 (Permitir)
As permissões especiais devem incluir os direitos de permissões Listar conteúdo, Ler todas as propriedades e Ler .
Permissões para usuários autenticados (permitir)
As permissões especiais devem incluir os direitos de permissões Listar conteúdo, Ler todas as propriedades e Ler .
Permissões necessárias no contêiner interno
Esta seção descreve as permissões esperadas do Active Directory para write-back de senha no contêiner interno. Para exibir as permissões de segurança existentes, siga estas etapas para acessar as propriedades de segurança do objeto interno:
Abra o snap-in Usuários e Computadores do Active Directory.
Na árvore de console, localize e selecione o contêiner Interno e, em seguida, selecione o ícone Propriedades .
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança.
Selecione o botão Avançado para exibir a caixa de diálogo Configurações de Segurança Avançadas. A guia Permissões exibe a lista atual de permissões de contêiner internas para cada identidade do Active Directory (Principal).
Compare essa lista de permissões atual com a lista de permissões de permissão necessárias para a conta MSOL_ , da seguinte maneira.
Permissão Herdado de Aplicar a Ler/gravar todas as propriedades <raiz do domínio> Objetos descendentes de InetOrgPerson Ler/gravar todas as propriedades <raiz do domínio> Objetos de grupo descendentes Ler/gravar todas as propriedades <raiz do domínio> Objetos de usuário descendentes Ler/gravar todas as propriedades <raiz do domínio> Objetos de contato descendentes Se necessário, selecione Adicionar para adicionar as entradas de permissão necessárias que estão ausentes da lista atual. Ou selecione uma entrada de permissão e, em seguida, selecione Editar para modificar essa entrada para atender ao requisito. Repita essa etapa até que as entradas de permissão atuais correspondam à tabela de subseções.
Selecione OK para sair da caixa de diálogo Configurações de Segurança Avançadas e retornar à caixa de diálogo Propriedades .
Outras permissões necessárias do Active Directory
Nas propriedades do grupo Acesso Compatível com Pré-Windows 2000, vá para a guia Membros e verifique se Usuários Autenticados é membro desse grupo. Caso contrário, você poderá ter problemas que afetam o write-back de senha no Microsoft Entra Connect e no Active Directory (especialmente em versões mais antigas).
Políticas de grupo de domínio necessárias
Para garantir que você tenha as políticas de grupo de domínio corretas, siga estas etapas:
Selecione Iniciar, insira secpol.msc e selecione Política de Segurança Local nos resultados da pesquisa.
Na árvore de console, em Configurações de Segurança, expanda Diretivas Locais e selecione Atribuição de Direitos de Usuário.
Na lista de políticas, selecione Representar um cliente após a autenticação e, em seguida, selecione o ícone Propriedades .
Na caixa de diálogo Propriedades, verifique se os seguintes grupos estão listados na guia Configuração de Segurança Local:
- Administradores
- SERVIÇO LOCAL
- SERVIÇO DE REDE
- SERVICE
Para obter mais informações, consulte os valores padrão para a política Representar um cliente após a autenticação.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.