Felsöka åtkomsträttigheter och behörigheter för tillbakaskrivning av lösenord
I den här artikeln beskrivs de åtkomsträttigheter och behörigheter som krävs i domänroten, användarobjektet och den inbyggda containern i Active Directory. Här beskrivs även följande:
- Obligatoriska domängruppsprinciper
- Så här identifierar du det Active Directory-domän Services-anslutningskonto (AD DS) som Microsoft Entra Connect använder
- Så här kontrollerar du befintliga behörigheter för det kontot
- Så här undviker du replikeringsproblem
Den här informationen kan hjälpa dig att felsöka specifika problem som rör tillbakaskrivning av lösenord.
Identifiera AD DS Connector-kontot
Innan du söker efter behörigheter för tillbakaskrivning av lösenord kontrollerar du det aktuella AD DS Connector-kontot (även kallat MSOL_ -kontot) i Microsoft Entra Connect. Om du verifierar det här kontot kan du undvika att utföra fel steg vid felsökning av tillbakaskrivning av lösenord.
Så här identifierar du AD DS Connector-kontot:
Öppna Service Manager för synkronisering. Det gör du genom att välja Start, ange Microsoft Entra Connect, välja Microsoft Entra Connect i sökresultaten och sedan välja Synkroniseringstjänst.
Välj fliken Anslutningsappar och välj sedan den tillämpliga Active Directory-anslutningsappen. I fönstret Åtgärder väljer du Egenskaper för att öppna dialogrutan Egenskaper .
I den vänstra rutan i fönstret Egenskaper väljer du Anslut till Active Directory-skog och kopierar sedan det kontonamn som visas som Användarnamn.
Kontrollera befintliga behörigheter för AD DS Connector-kontot
Om du vill ange rätt Active Directory-behörigheter för tillbakaskrivning av lösenord använder du den inbyggda POWERShell-modulen ADSyncConfig. MODULEN ADSyncConfig innehåller en metod för att ange behörigheter för tillbakaskrivning av lösenord med hjälp av cmdleten Set-ADSyncPasswordWritebackPermissions .
Om du vill kontrollera om AD DS Connector-kontot (MSOL_ kontot) har rätt behörigheter för en viss användare använder du något av följande verktyg:
- Active Directory - användare och datorer snapin-modul på Microsoft Management Console (MMC)
- Kommandotolk
- PowerShell
Snapin-modul för Active Directory-användare och -datorer
Använd MMC-snapin-modulen för Active Directory - användare och datorer. Följ de här stegen:
Välj Start, ange dsa.msc och välj sedan snapin-modulen Active Directory - användare och datorer i sökresultatet.
Välj Visa>avancerade funktioner.
Leta upp och välj det användarkonto som du vill kontrollera behörigheterna för i konsolträdet. Välj sedan ikonen Egenskaper .
I dialogrutan Egenskaper för kontot väljer du fliken Säkerhet och sedan knappen Avancerat.
I dialogrutan Avancerade säkerhetsinställningar för kontot väljer du fliken Gällande behörigheter. I avsnittet Grupp eller användarnamn väljer du sedan knappen Välj.
I dialogrutan Välj användare, dator eller grupp väljer du Avancerad>sök nu för att visa urvalslistan. I rutan Sökresultat väljer du MSOL_ kontonamn.
Välj OK två gånger för att återgå till fliken Gällande behörigheter i dialogrutan Avancerade säkerhetsinställningar . Nu kan du visa listan över gällande behörigheter för det MSOL_ konto som har tilldelats användarkontot. Listan över standardbehörigheter som krävs för tillbakaskrivning av lösenord visas i avsnittet Nödvändiga behörigheter för användarobjektet i den här artikeln.
Kommandotolk
Använd kommandot dsacls för att visa åtkomstkontrollistorna (ACL:er eller behörigheter) för AD DS Connector-kontot. Följande kommando lagrar kommandoutdata i en textfil, men du kan ändra det så att utdata visas i konsolen:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Du kan använda den här metoden för att analysera behörigheterna för alla Active Directory-objekt. Det är dock inte användbart att jämföra behörigheter mellan objekt eftersom textutdata inte sorteras.
PowerShell
Använd cmdleten Get-Acl för att hämta kontobehörigheterna för AD DS Connector och lagra sedan utdata som en XML-fil med hjälp av cmdleten Export-Clixml enligt följande:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
PowerShell-metoden är användbar för offlineanalys. Du kan importera filen med hjälp av cmdleten Import-Clixml . Den behåller också den ursprungliga strukturen för ACL och dess egenskaper. Du kan använda den här metoden för att analysera behörigheterna för alla Active Directory-objekt.
Undvik replikeringsproblem när du åtgärdar behörigheter
När du åtgärdar Active Directory-behörigheter kanske ändringarna i Active Directory inte börjar gälla omedelbart. Active Directory-behörigheter omfattas också av replikering i skogen på samma sätt som Active Directory-objekt. Hur åtgärdar du active directory-replikeringsproblem eller fördröjningar? Du anger en önskad domänkontrollant i Microsoft Entra Connect och arbetar bara med den domänkontrollanten för eventuella ändringar. När du använder snapin-modulen Active Directory - användare och datorer högerklickar du på domänroten i konsolträdet, väljer menyalternativet Ändra domänkontrollant och väljer sedan samma önskade domänkontrollant.
Om du vill ha en snabb kontroll i Active Directory kör du diagnostik för domänkontrollanter med hjälp av kommandot dcdiag . Kör sedan kommandot repadmin/replsummary för att visa en sammanfattning av replikeringsproblem. Följande kommandon lagrar kommandoutdata till textfiler, även om du kan ändra dem för att visa utdata i konsolen:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Nödvändiga behörigheter för Active Directory-domänroten
I det här avsnittet beskrivs förväntade Active Directory-behörigheter för tillbakaskrivning av lösenord i Active Directory-domänroten. Blanda inte ihop roten med roten i Active Directory-skogen. En skog kan ha flera Active Directory-domäner. Varje domän måste ha rätt behörigheter i sin egen rot, så att tillbakaskrivning av lösenord kan fungera för användare i domänen.
Du kan visa befintliga Active Directory-behörigheter i domänrotens säkerhetsegenskaper. Följ de här stegen:
Öppna snapin-modulen för Active Directory – användare och datorer.
Leta upp och välj Active Directory-domänroten i konsolträdet och välj sedan ikonen Egenskaper .
I dialogrutan Egenskaper för kontot väljer du fliken Säkerhet.
Var och en av följande underavsnitt innehåller en tabell med domänrotens standardbehörigheter. Den här tabellen visar de behörighetsposter som krävs för gruppen eller användarnamnet som finns i underavsnittsrubriken. Följ dessa steg för varje underavsnitt om du vill visa och ändra de aktuella behörighetsposterna så att de matchar kraven för varje grupp eller användarnamn:
På fliken Säkerhet väljer du knappen Avancerat för att visa dialogrutan Avancerade säkerhetsinställningar . Fliken Behörigheter visar den aktuella listan över domänrotbehörigheter för varje Active Directory-identitet (huvudnamn).
Jämför den aktuella behörighetslistan med listan med standardbehörigheter för varje Active Directory-identitet (huvudnamn).
Om det behövs väljer du Lägg till för att lägga till nödvändiga behörighetsposter som saknas i den aktuella listan. Eller välj en behörighetspost och välj sedan Redigera för att ändra posten för att uppfylla kravet. Upprepa det här steget tills de aktuella behörighetsposterna matchar underavsnittstabellen.
Välj OK för att acceptera ändringarna i dialogrutan Avancerade säkerhetsinställningar och återgå till dialogrutan Egenskaper .
Kommentar
Behörigheterna för Active Directory-domänroten ärvs inte från någon överordnad container.
Rotstandardbehörigheter för AD DS Connector-kontot (Tillåt)
| Behörighet | Tillämpa på |
|---|---|
| Återställ lösenord | Underordnade användarobjekt |
| (tom) | Underordnade msDS-Device-objekt |
| Replikera katalogändringar | Endast det här objektet |
| Replikera katalogändringar alla | Endast det här objektet |
| Läsa alla egenskaper | Underordnade publicFolder-objekt |
| Läs/skriv alla egenskaper | Underordnade InetOrgPerson-objekt |
| Läs/skriv alla egenskaper | Underordnade gruppobjekt |
| Läs/skriv alla egenskaper | Underordnade användarobjekt |
| Läs/skriv alla egenskaper | Underordnade kontaktobjekt |
Rotstandardbehörigheter för autentiserade användare (tillåt)
| Behörighet | Tillämpa på |
|---|---|
| Aktivera reversibelt krypterat lösenord per användare | Endast det här objektet |
| Ta bort lösenord | Endast det här objektet |
| Uppdateringslösenord krävs inte | Endast det här objektet |
| Special | Endast det här objektet |
| (tom) | Det här objektet och alla underordnade objekt |
Rotstandardbehörigheter för Alla (Neka + Tillåt)
| Typ | Behörighet | Tillämpa på |
|---|---|---|
| Neka | Ta bort alla underordnade objekt | Endast det här objektet |
| Tillåt | Läsa alla egenskaper | Endast det här objektet |
Rotstandardbehörigheter för pre-Windows 2000-kompatibel åtkomst (tillåt)
| Behörighet | Tillämpa på |
|---|---|
| Special | Underordnade InetOrgPerson-objekt |
| Special | Underordnade gruppobjekt |
| Special | Underordnade användarobjekt |
| Special | Endast det här objektet |
| Visa en lista med innehåll | Det här objektet och alla underordnade objekt |
Rotstandardbehörigheter för SELF (Tillåt)
| Behörighet | Tillämpa på |
|---|---|
| (tom) | Det här objektet och alla underordnade objekt |
| Special | Alla underordnade objekt |
| Validerad skrivning till datorattribut | Underordnade datorobjekt |
| (tom) | Underordnade datorobjekt |
Nödvändiga behörigheter för användarobjektet
I det här avsnittet beskrivs förväntade Active Directory-behörigheter för tillbakaskrivning av lösenord på målanvändarobjektet som måste uppdatera lösenordet. Om du vill visa befintliga säkerhetsbehörigheter följer du dessa steg för att visa säkerhetsegenskaperna för användarobjektet:
Gå tillbaka till snapin-modulen Active Directory - användare och datorer.
Använd konsolträdet eller menyalternativet Sök efter åtgärd>för att välja målanvändarobjektet och välj sedan ikonen Egenskaper.
I dialogrutan Egenskaper för kontot väljer du fliken Säkerhet.
Var och en av följande underavsnitt innehåller en tabell med användarstandardbehörigheter. Den här tabellen visar de behörighetsposter som krävs för gruppen eller användarnamnet som finns i underavsnittsrubriken. Följ dessa steg för varje underavsnitt om du vill visa och ändra de aktuella behörighetsposterna så att de matchar kraven för varje grupp eller användarnamn:
På fliken Säkerhet väljer du knappen Avancerat för att visa dialogrutan Avancerade säkerhetsinställningar .
Kontrollera att knappen Inaktivera arv visas längst ned i dialogrutan. Om knappen Aktivera arv visas i stället väljer du den knappen. Funktionen aktivera arv gör att alla behörigheter från överordnade containrar och organisationsenheter kan ärvas av det här objektet. Den här ändringen löser problemet.
På fliken Behörigheter jämför du den aktuella behörighetslistan med listan med standardbehörigheter för varje Active Directory-identitet (huvudnamn). Fliken Behörigheter visar den aktuella listan över användarbehörigheter för varje Active Directory-identitet (huvudnamn).
Om det behövs väljer du Lägg till för att lägga till nödvändiga behörighetsposter som saknas i den aktuella listan. Eller välj en behörighetspost och välj sedan Redigera för att ändra posten för att uppfylla kravet. Upprepa det här steget tills de aktuella behörighetsposterna matchar underavsnittstabellen.
Välj OK för att acceptera ändringarna i dialogrutan Avancerade säkerhetsinställningar och återgå till dialogrutan Egenskaper .
Kommentar
Till skillnad från Active Directory-domänroten ärvs de behörigheter som krävs för användarobjektet vanligtvis från domänroten eller från en överordnad container eller organisationsenhet. Behörigheter som har angetts direkt på objektet anger ett arv från Ingen. Arv av åtkomstkontrollposten (ACE) är inte viktigt så länge värdena i typen, huvudnamnet, åtkomsten och gäller för kolumner för behörigheten är desamma. Vissa behörigheter kan dock endast anges i domänroten. Dessa entiteter visas i underavsnittstabellerna.
Användarens standardbehörigheter för AD DS Connector-kontot (Tillåt)
| Behörighet | Ärvd från | Tillämpa på |
|---|---|---|
| Återställ lösenord | <domänrot> | Underordnade användarobjekt |
| (tom) | <domänrot> | Underordnade msDS-Device-objekt |
| Läsa alla egenskaper | <domänrot> | Underordnade publicFolder-objekt |
| Läs/skriv alla egenskaper | <domänrot> | Underordnade InetOrgPerson-objekt |
| Läs/skriv alla egenskaper | <domänrot> | Underordnade gruppobjekt |
| Läs/skriv alla egenskaper | <domänrot> | Underordnade användarobjekt |
| Läs/skriv alla egenskaper | <domänrot> | Underordnade kontaktobjekt |
Användarens standardbehörigheter för autentiserade användare (tillåt)
| Behörighet | Ärvd från | Tillämpa på |
|---|---|---|
| Läs allmän information | Ingen | Endast det här objektet |
| Läs offentlig information | Ingen | Endast det här objektet |
| Läs personlig information | Ingen | Endast det här objektet |
| Läsa webbinformation | Ingen | Endast det här objektet |
| Läsbehörigheter | Ingen | Endast det här objektet |
| Läs Exchange-information | <domänrot> | Det här objektet och alla underordnade objekt |
Användarens standardbehörigheter för Alla (tillåt)
| Behörighet | Ärvd från | Tillämpa på |
|---|---|---|
| Ändra lösenord | Ingen | Endast det här objektet |
Användarens standardbehörigheter för pre-Windows 2000-kompatibel åtkomst (tillåt)
De särskilda behörigheterna i den här tabellen innehåller behörigheterna Listinnehåll, Läs alla egenskaper och Läsbehörigheter .
| Behörighet | Ärvd från | Tillämpa på |
|---|---|---|
| Special | <domänrot> | Underordnade InetOrgPerson-objekt |
| Special | <domänrot> | Underordnade gruppobjekt |
| Special | <domänrot> | Underordnade användarobjekt |
| Visa en lista med innehåll | <domänrot> | Det här objektet och alla underordnade objekt |
Användarens standardbehörigheter för SELF (Tillåt)
De särskilda behörigheterna i den här tabellen innehåller endast läs-/skrivbehörigheter för privat information .
| Behörighet | Ärvd från | Tillämpa på |
|---|---|---|
| Ändra lösenord | Ingen | Endast det här objektet |
| Skicka som | Ingen | Endast det här objektet |
| Ta emot som | Ingen | Endast det här objektet |
| Läsa/skriva personlig information | Ingen | Endast det här objektet |
| Läs-/skrivalternativ för telefon och e-post | Ingen | Endast det här objektet |
| Läsa/skriva webbinformation | Ingen | Endast det här objektet |
| Special | Ingen | Endast det här objektet |
| Validerad skrivning till datorattribut | <domänrot> | Underordnade datorobjekt |
| (tom) | <domänrot> | Underordnade datorobjekt |
| (tom) | <domänrot> | Det här objektet och alla underordnade objekt |
| Special | <domänrot> | Det här objektet och alla underordnade objekt |
Nödvändiga behörigheter för SAM-serverobjektet
I det här avsnittet beskrivs de förväntade Active Directory-behörigheterna för tillbakaskrivning av lösenord på SAM-serverobjektet (CN=Server,CN=System,DC=Contoso,DC=com). Följ dessa steg för att hitta säkerhetsegenskaperna för SAM-serverobjektet (samServer):
Gå tillbaka till snapin-modulen Active Directory - användare och datorer.
Leta upp och välj systemcontainern i konsolträdet.
Leta upp och välj Server (samServer-objektet) och välj sedan ikonen Egenskaper .
I dialogrutan Egenskaper för objektet väljer du fliken Säkerhet.
Välj dialogrutan Avancerade säkerhetsinställningar. Fliken Behörigheter visar den aktuella listan över samServer-objektbehörigheter för varje Active Directory-identitet (huvudnamn).
Kontrollera att minst ett av följande huvudnamn visas i åtkomstkontrollposten för samServer-objektet. Om endast pre-Windows 2000-kompatibel åtkomst visas kontrollerar du att autentiserade användare är medlem i den här inbyggda gruppen.
Behörigheter för pre-Windows 2000-kompatibel åtkomst (tillåt)
Särskilda behörigheter måste innehålla behörigheterna Listinnehåll, Läs alla egenskaper och Läsbehörigheter .
Behörigheter för autentiserade användare (tillåt)
Särskilda behörigheter måste innehålla behörigheterna Listinnehåll, Läs alla egenskaper och Läsbehörigheter .
Nödvändiga behörigheter för den inbyggda containern
I det här avsnittet beskrivs de förväntade Active Directory-behörigheterna för tillbakaskrivning av lösenord i den inbyggda containern. Om du vill visa befintliga säkerhetsbehörigheter följer du de här stegen för att komma till säkerhetsegenskaperna för det inbyggda objektet:
Öppna till snapin-modulen Active Directory - användare och datorer.
Leta upp och välj containern Builtin i konsolträdet och välj sedan ikonen Egenskaper .
I dialogrutan Egenskaper för kontot väljer du fliken Säkerhet.
Välj knappen Avancerat för att visa dialogrutan Avancerade säkerhetsinställningar. Fliken Behörigheter visar den aktuella listan över inbyggda containerbehörigheter för varje Active Directory-identitet (huvudnamn).
Jämför den här aktuella behörighetslistan med listan över nödvändiga tillåtna behörigheter för MSOL_ -kontot enligt följande.
Behörighet Ärvd från Tillämpa på Läs/skriv alla egenskaper <domänrot> Underordnade InetOrgPerson-objekt Läs/skriv alla egenskaper <domänrot> Underordnade gruppobjekt Läs/skriv alla egenskaper <domänrot> Underordnade användarobjekt Läs/skriv alla egenskaper <domänrot> Underordnade kontaktobjekt Om det behövs väljer du Lägg till för att lägga till nödvändiga behörighetsposter som saknas i den aktuella listan. Eller välj en behörighetspost och välj sedan Redigera för att ändra posten för att uppfylla kravet. Upprepa det här steget tills de aktuella behörighetsposterna matchar underavsnittstabellen.
Välj OK för att avsluta dialogrutan Avancerade säkerhetsinställningar och gå tillbaka till dialogrutan Egenskaper .
Andra nödvändiga Active Directory-behörigheter
I egenskaperna för gruppen För Windows 2000-kompatibel åtkomst går du till fliken Medlemmar och kontrollerar att autentiserade användare är medlem i den här gruppen. Annars kan det uppstå problem som påverkar tillbakaskrivning av lösenord på Microsoft Entra Connect och Active Directory (särskilt i äldre versioner).
Obligatoriska domängruppsprinciper
Följ dessa steg för att se till att du har rätt domängruppsprinciper:
Välj Start, ange secpol.msc och välj sedan Lokal säkerhetsprincip i sökresultaten.
Under Säkerhetsinställningar i konsolträdet expanderar du Lokala principer och väljer sedan Tilldelning av användarrättigheter.
I listan över principer väljer du Personifiera en klient efter autentisering och väljer sedan ikonen Egenskaper .
I dialogrutan Egenskaper kontrollerar du att följande grupper visas på fliken Lokal säkerhetsinställning:
- Administratörer
- LOKAL TJÄNST
- NÄTVERKSTJÄNST
- TJÄNST
Mer information finns i standardvärdena för principen Personifiera en klient efter autentisering.
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.