Устранение неполадок с правами доступа и разрешениями обратной записи паролей
В этой статье описываются права доступа и разрешения, необходимые в корневом каталоге домена, объекте пользователя и контейнере Builtin в Active Directory. В нем также рассматриваются следующие элементы:
- Обязательные групповые политики домена
- Как определить учетную запись соединителя служб домен Active Directory (AD DS), которую использует Microsoft Entra Connect
- Как проверить существующие разрешения для этой учетной записи
- Как избежать проблем с репликацией
Эти сведения помогут устранить конкретные проблемы, связанные с обратной записью паролей.
Определение учетной записи соединителя AD DS
Перед проверкой разрешений обратной записи паролей проверьте текущую учетную запись соединителя AD DS (также называемую учетной записью MSOL_ ) в Microsoft Entra Connect. Проверка этой учетной записи помогает избежать ошибок при устранении неполадок обратной записи паролей.
Чтобы определить учетную запись соединителя AD DS, выполните следующие действия.
Откройте диспетчер службы синхронизации. Для этого нажмите кнопку "Пуск", введите Microsoft Entra Connect, выберите Microsoft Entra Connect в результатах поиска и выберите службу синхронизации.
Перейдите на вкладку "Соединители" и выберите соответствующий соединитель Active Directory. В области "Действия" выберите "Свойства", чтобы открыть диалоговое окно "Свойства".
В левой области окна "Свойства" выберите "Подключиться к лесу Active Directory", а затем скопируйте имя учетной записи, отображаемое в качестве имени пользователя.
Проверка существующих разрешений учетной записи соединителя AD DS
Чтобы задать правильные разрешения Active Directory для обратной записи паролей, используйте встроенный модуль ADSyncConfig PowerShell. Модуль ADSyncConfig включает метод задания разрешений для обратной записи паролей с помощью командлета Set-ADSyncPasswordWritebackPermissions .
Чтобы проверить, имеет ли учетная запись соединителя AD DS (т . е. учетную запись MSOL_ ) правильные разрешения для конкретного пользователя, используйте одно из следующих средств:
- Пользователи и компьютеры Active Directory оснастки на консоли управления Майкрософт (MMC)
- С помощью командной строки
- PowerShell
Оснастка «Active Directory — пользователи и компьютеры»
Используйте оснастку MMC для Пользователи и компьютеры Active Directory. Выполните следующие действия:
Нажмите кнопку "Пуск", введите dsa.msc и выберите Пользователи и компьютеры Active Directory оснастки в результатах поиска.
Выберите "Просмотреть>дополнительные функции".
В дереве консоли найдите и выберите учетную запись пользователя, для которой требуется проверить разрешения. Затем выберите значок "Свойства ".
В диалоговом окне "Свойства" для учетной записи выберите вкладку "Безопасность" и нажмите кнопку "Дополнительно".
В диалоговом окне "Дополнительные параметры безопасности" для учетной записи выберите вкладку "Действующие разрешения". Затем в разделе "Группа" или "Имя пользователя" нажмите кнопку "Выбрать".
В диалоговом окне "Выбор пользователя", "Компьютер" или "Группа" выберите "Дополнительно>найти сейчас", чтобы отобразить список выбора. В поле результатов поиска выберите имя учетной записи MSOL_.
Нажмите кнопку "ОК ", чтобы вернуться на вкладку "Действующие разрешения" в диалоговом окне "Дополнительные параметры безопасности". Теперь вы можете просмотреть список эффективных разрешений для учетной записи MSOL_ , назначенной учетной записи пользователя. Список разрешений по умолчанию, необходимых для обратной записи паролей, показан в разделе "Обязательные разрешения" в разделе объекта пользователя в этой статье.
С помощью командной строки
Используйте команду dsacls для отображения списков управления доступом (ACL или разрешений) учетной записи соединителя AD DS. Следующая команда сохраняет выходные данные команды в текстовом файле, хотя ее можно изменить, чтобы отобразить выходные данные в консоли:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Этот метод можно использовать для анализа разрешений для любого объекта Active Directory. Однако не рекомендуется сравнивать разрешения между объектами, так как текстовые выходные данные не отсортированы.
PowerShell
Используйте командлет Get-Acl, чтобы получить разрешения учетной записи соединителя AD DS, а затем сохранить выходные данные в виде XML-файла с помощью командлета Export-Clixml, как показано ниже.
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
Метод PowerShell полезен для автономного анализа. Он позволяет импортировать файл с помощью командлета Import-Clixml . Он также сохраняет исходную структуру ACL и ее свойства. Этот метод можно использовать для анализа разрешений для любого объекта Active Directory.
Избегайте проблем репликации при устранении разрешений
При исправлении разрешений Active Directory изменения в Active Directory могут не входить в силу немедленно. Разрешения Active Directory также подлежат репликации в лесу таким же образом, как и объекты Active Directory. Как устранить проблемы или задержки репликации Active Directory? Вы устанавливаете предпочтительный контроллер домена в Microsoft Entra Connect и работаете только с этим контроллером домена для любых изменений. При использовании оснастки Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши корневой каталог домена в дереве консоли, выберите пункт меню "Изменить контроллер домена" и выберите тот же предпочтительный контроллер домена.
Чтобы быстро проверить работоспособность в Active Directory, запустите контроллер домена диагностика с помощью команды dcdiag. Затем выполните команду repadmin /replsummary , чтобы просмотреть сводку проблем репликации. Следующие команды хранят выходные данные команды в текстовые файлы, хотя их можно изменить, чтобы отобразить выходные данные в консоли:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Необходимые разрешения в корневом каталоге домена Active Directory
В этом разделе описываются ожидаемые разрешения Active Directory для обратной записи паролей в корневом каталоге домена Active Directory. Не путайте этот корень с корнем леса Active Directory. Лес может иметь несколько доменов Active Directory. Каждый домен должен иметь правильные разрешения, заданные в собственном корневом каталоге, чтобы обратная запись паролей работала для пользователей в этом домене.
Существующие разрешения Active Directory можно просмотреть в свойствах безопасности корневого домена. Выполните следующие действия:
Откройте оснастку "Active Directory - пользователи и компьютеры".
В дереве консоли найдите и выберите корневой каталог домена Active Directory, а затем щелкните значок "Свойства ".
В диалоговом окне "Свойства" для учетной записи выберите вкладку "Безопасность".
Каждый из следующих подразделов содержит таблицу разрешений корневого домена по умолчанию. В этой таблице показаны необходимые записи разрешений для имени группы или пользователя, указанного в заголовке подраздела. Чтобы просмотреть и изменить текущие записи разрешений для соответствия требованиям для каждой группы или имени пользователя, выполните следующие действия для каждого подраздела:
На вкладке "Безопасность " нажмите кнопку "Дополнительно ", чтобы просмотреть диалоговое окно "Дополнительные параметры безопасности". На вкладке "Разрешения" отображается текущий список корневых разрешений домена для каждого удостоверения Active Directory (субъект).
Сравните текущий список разрешений с списком разрешений по умолчанию для каждого удостоверения Active Directory (субъект).
При необходимости нажмите кнопку "Добавить ", чтобы добавить необходимые записи разрешений, отсутствующие в текущем списке. Или выберите запись разрешения, а затем нажмите кнопку "Изменить ", чтобы изменить эту запись в соответствии с требованием. Повторите этот шаг, пока текущие записи разрешений не соответствуют таблице подразделов.
Нажмите кнопку "ОК ", чтобы принять изменения в диалоговом окне "Дополнительные параметры безопасности" и вернуться в диалоговое окно "Свойства ".
Примечание.
Разрешения на корневой каталог домена Active Directory не наследуются от родительского контейнера.
Разрешения по умолчанию для учетной записи соединителя AD DS (разрешить)
| Разрешение | Как применить |
|---|---|
| Введите новый пароль | Потомки объектов-пользователей |
| (пусто) | Объекты потомков msDS-Device |
| Репликация изменений каталога | Только этот объект |
| Репликация всех изменений каталога | Только этот объект |
| Чтение всех свойств | Объекты нисходящих publicFolder |
| Чтение и запись всех свойств | Дочерние объекты InetOrgPerson |
| Чтение и запись всех свойств | Дочерние объекты группы |
| Чтение и запись всех свойств | Потомки объектов-пользователей |
| Чтение и запись всех свойств | Дочерние объекты контакта |
Разрешения по умолчанию для прошедших проверку подлинности пользователей (разрешить)
| Разрешение | Как применить |
|---|---|
| Включение для каждого пользователя обратимо зашифрованного пароля | Только этот объект |
| Отмена пароля | Только этот объект |
| Обновление пароля не требуется бит | Только этот объект |
| Специалистами | Только этот объект |
| (пусто) | Этот объект и все дочерние объекты |
Разрешения по умолчанию для всех пользователей (запрет и разрешение)
| Тип | Разрешение | Как применить |
|---|---|---|
| Запрет | Удаление всех дочерних объектов | Только этот объект |
| Разрешить | Чтение всех свойств | Только этот объект |
Разрешения по умолчанию для совместимого доступа с Windows 2000 (разрешить)
| Разрешение | Как применить |
|---|---|
| Специалистами | Дочерние объекты InetOrgPerson |
| Специалистами | Дочерние объекты группы |
| Специалистами | Потомки объектов-пользователей |
| Специалистами | Только этот объект |
| Вывод списка содержимого | Этот объект и все дочерние объекты |
Разрешения по умолчанию для SELF (разрешить)
| Разрешение | Как применить |
|---|---|
| (пусто) | Этот объект и все дочерние объекты |
| Специалистами | Все объекты-потомки |
| Проверенная запись в атрибуты компьютера | Дочерние объекты компьютера |
| (пусто) | Дочерние объекты компьютера |
Необходимые разрешения для объекта пользователя
В этом разделе описываются ожидаемые разрешения Active Directory для обратной записи паролей в целевом объекте пользователя, который должен обновить пароль. Чтобы просмотреть существующие разрешения безопасности, выполните следующие действия, чтобы отобразить свойства безопасности объекта пользователя:
Вернитесь к оснастке Пользователи и компьютеры Active Directory.
Используйте дерево консоли или пункт меню "Поиск действий>", чтобы выбрать целевой объект пользователя, а затем щелкните значок "Свойства".
В диалоговом окне "Свойства" для учетной записи выберите вкладку "Безопасность".
Каждый из следующих подразделов содержит таблицу разрешений пользователя по умолчанию. В этой таблице показаны необходимые записи разрешений для имени группы или пользователя, указанного в заголовке подраздела. Чтобы просмотреть и изменить текущие записи разрешений для соответствия требованиям для каждой группы или имени пользователя, выполните следующие действия для каждого подраздела:
На вкладке "Безопасность " нажмите кнопку "Дополнительно ", чтобы просмотреть диалоговое окно "Дополнительные параметры безопасности".
Убедитесь, что кнопка "Отключить наследование " отображается в нижней части диалогового окна. Если вместо этого отображается кнопка "Включить наследование", нажмите кнопку. Функция включения наследования позволяет наследовать все разрешения от родительских контейнеров и подразделений, наследуемых этим объектом. Это изменение устраняет проблему.
На вкладке "Разрешения" сравните текущий список разрешений с списком разрешений по умолчанию для каждого удостоверения Active Directory (субъект). На вкладке "Разрешения" отображается текущий список разрешений пользователя для каждого удостоверения Active Directory (субъект).
При необходимости нажмите кнопку "Добавить ", чтобы добавить необходимые записи разрешений, отсутствующие в текущем списке. Или выберите запись разрешения, а затем нажмите кнопку "Изменить ", чтобы изменить эту запись в соответствии с требованием. Повторите этот шаг, пока текущие записи разрешений не соответствуют таблице подразделов.
Нажмите кнопку "ОК ", чтобы принять изменения в диалоговом окне "Дополнительные параметры безопасности" и вернуться в диалоговое окно "Свойства ".
Примечание.
В отличие от корневого домена Active Directory, необходимые разрешения для объекта пользователя обычно наследуются от корневого домена или родительского контейнера или подразделения. Разрешения, заданные непосредственно на объекте, указывают наследование от None. Наследование записи управления доступом (ACE) не имеет значения, если значения в типе, субъекте, доступе и применении к столбцам разрешения одинаковы. Однако некоторые разрешения можно задать только в корневом каталоге домена. Эти сущности перечислены в таблицах подразделов.
Разрешения пользователя по умолчанию для учетной записи соединителя AD DS (разрешить)
| Разрешение | Унаследовано от | Как применить |
|---|---|---|
| Введите новый пароль | <корневой каталог домена> | Потомки объектов-пользователей |
| (пусто) | <корневой каталог домена> | Объекты потомков msDS-Device |
| Чтение всех свойств | <корневой каталог домена> | Объекты нисходящих publicFolder |
| Чтение и запись всех свойств | <корневой каталог домена> | Дочерние объекты InetOrgPerson |
| Чтение и запись всех свойств | <корневой каталог домена> | Дочерние объекты группы |
| Чтение и запись всех свойств | <корневой каталог домена> | Потомки объектов-пользователей |
| Чтение и запись всех свойств | <корневой каталог домена> | Дочерние объекты контакта |
Разрешения пользователей по умолчанию для прошедших проверку подлинности пользователей (разрешить)
| Разрешение | Унаследовано от | Как применить |
|---|---|---|
| Чтение общих сведений | нет | Только этот объект |
| Чтение общедоступной информации | нет | Только этот объект |
| Чтение персональных данных | нет | Только этот объект |
| Чтение веб-сведений | нет | Только этот объект |
| чтение; | нет | Только этот объект |
| Чтение сведений Об Exchange | <корневой каталог домена> | Этот объект и все дочерние объекты |
Разрешения пользователя по умолчанию для всех пользователей (разрешить)
| Разрешение | Унаследовано от | Как применить |
|---|---|---|
| Изменить пароль | нет | Только этот объект |
Разрешения пользователей по умолчанию для совместимого доступа с Windows 2000 (разрешить)
Специальные разрешения в этой таблице включают содержимое списка, чтение всех свойств и права разрешений на чтение.
| Разрешение | Унаследовано от | Как применить |
|---|---|---|
| Специалистами | <корневой каталог домена> | Дочерние объекты InetOrgPerson |
| Специалистами | <корневой каталог домена> | Дочерние объекты группы |
| Специалистами | <корневой каталог домена> | Потомки объектов-пользователей |
| Вывод списка содержимого | <корневой каталог домена> | Этот объект и все дочерние объекты |
Разрешения пользователя по умолчанию для SELF (разрешить)
Специальные разрешения в этой таблице включают только права на чтение и запись частных сведений.
| Разрешение | Унаследовано от | Как применить |
|---|---|---|
| Изменить пароль | нет | Только этот объект |
| Отправить как | нет | Только этот объект |
| Получение как | нет | Только этот объект |
| Чтение и запись персональных данных | нет | Только этот объект |
| Параметры чтения и записи телефонов и почты | нет | Только этот объект |
| Чтение и запись веб-сведений | нет | Только этот объект |
| Специалистами | нет | Только этот объект |
| Проверенная запись в атрибуты компьютера | <корневой каталог домена> | Дочерние объекты компьютера |
| (пусто) | <корневой каталог домена> | Дочерние объекты компьютера |
| (пусто) | <корневой каталог домена> | Этот объект и все дочерние объекты |
| Специалистами | <корневой каталог домена> | Этот объект и все дочерние объекты |
Необходимые разрешения для объекта сервера SAM
В этом разделе описываются ожидаемые разрешения Active Directory для обратной записи паролей на серверном объекте диспетчера учетных записей безопасности (SAM) (CN=Server,CN=System,DC=Contoso,DC=com). Чтобы найти свойства безопасности объекта сервера SAM (samServer), выполните следующие действия.
Вернитесь к оснастке Пользователи и компьютеры Active Directory.
В дереве консоли найдите и выберите контейнер System .
Найдите и выберите сервер (объект samServer), а затем щелкните значок "Свойства ".
В диалоговом окне "Свойства" для объекта выберите вкладку "Безопасность".
Выберите диалоговое окно "Дополнительные параметры безопасности". На вкладке "Разрешения" отображается текущий список разрешений объекта samServer для каждого удостоверения Active Directory (субъект).
Убедитесь, что в записи управления доступом для объекта samServer отображается по крайней мере один из следующих субъектов. Если указан только доступ с совместимостью с Windows 2000, убедитесь, что прошедшие проверку подлинности пользователи являются членом этой встроенной группы.
Разрешения для совместимого доступа с Предварительной версией Windows 2000 (разрешить)
Специальные разрешения должны включать содержимое списка, чтение всех свойств и права разрешений на чтение.
Разрешения для прошедших проверку подлинности пользователей (разрешить)
Специальные разрешения должны включать содержимое списка, чтение всех свойств и права разрешений на чтение.
Необходимые разрешения для контейнера Builtin
В этом разделе описываются ожидаемые разрешения Active Directory для обратной записи паролей в контейнере Builtin. Чтобы просмотреть существующие разрешения безопасности, выполните следующие действия, чтобы получить доступ к свойствам безопасности встроенного объекта:
Откройте Пользователи и компьютеры Active Directory оснастки.
В дереве консоли найдите и выберите контейнер Builtin , а затем щелкните значок "Свойства ".
В диалоговом окне "Свойства" для учетной записи выберите вкладку "Безопасность".
Нажмите кнопку "Дополнительно", чтобы просмотреть диалоговое окно "Дополнительные параметры безопасности". На вкладке "Разрешения" отображается текущий список разрешений встроенного контейнера для каждого удостоверения Active Directory (субъект).
Сравните этот текущий список разрешений с списком необходимых разрешений для учетной записи MSOL_ , как показано ниже.
Разрешение Унаследовано от Как применить Чтение и запись всех свойств <корневой каталог домена> Дочерние объекты InetOrgPerson Чтение и запись всех свойств <корневой каталог домена> Дочерние объекты группы Чтение и запись всех свойств <корневой каталог домена> Потомки объектов-пользователей Чтение и запись всех свойств <корневой каталог домена> Дочерние объекты контакта При необходимости нажмите кнопку "Добавить ", чтобы добавить необходимые записи разрешений, отсутствующие в текущем списке. Или выберите запись разрешения, а затем нажмите кнопку "Изменить ", чтобы изменить эту запись в соответствии с требованием. Повторите этот шаг, пока текущие записи разрешений не соответствуют таблице подразделов.
Нажмите кнопку "ОК ", чтобы выйти из диалогового окна "Дополнительные параметры безопасности" и вернуться в диалоговое окно "Свойства ".
Другие необходимые разрешения Active Directory
В свойствах группы доступа с совместимостью с Windows 2000 перейдите на вкладку "Члены" и убедитесь, что прошедшие проверку подлинности пользователи являются членом этой группы. В противном случае могут возникнуть проблемы, влияющие на обратную запись паролей в Microsoft Entra Connect и Active Directory (особенно в более ранних версиях).
Обязательные групповые политики домена
Чтобы убедиться, что у вас есть правильные групповые политики домена, выполните следующие действия.
Нажмите кнопку "Пуск", введите secpol.msc и выберите локальную политику безопасности в результатах поиска.
В дереве консоли в разделе "Параметры безопасности" разверните узел "Локальные политики" и выберите "Назначение прав пользователя".
В списке политик выберите олицетворить клиента после проверки подлинности и щелкните значок "Свойства ".
В диалоговом окне "Свойства" убедитесь, что на вкладке "Локальный параметр безопасности" перечислены следующие группы:
- Администраторы
- ЛОКАЛЬНАЯ СЛУЖБА
- СЕТЕВАЯ СЛУЖБА
- SERVICE
Дополнительные сведения см. в значениях по умолчанию для олицетворения клиента после политики проверки подлинности.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.