Résoudre les problèmes liés aux autorisations et droits d’accès d’écriture différée du mot de passe
Cet article décrit les droits d’accès et les autorisations requis dans la racine du domaine, l’objet utilisateur et le conteneur Intégré dans Active Directory. Il traite également des éléments suivants :
- Stratégies de groupe de domaines requises
- Comment identifier le compte de connecteur services de domaine Active Directory (AD DS) utilisé par Microsoft Entra Connect
- Guide pratique pour case activée des autorisations existantes sur ce compte
- Comment éviter les problèmes de réplication
Ces informations peuvent vous aider à résoudre des problèmes spécifiques qui impliquent la réécriture du mot de passe.
Identifier le compte de connecteur AD DS
Avant d’case activée pour les autorisations de réécriture du mot de passe, vérifiez le compte de connecteur AD DS actuel (également appelé compte MSOL_) dans Microsoft Entra Connect. La vérification de ce compte vous permet d’éviter d’effectuer des étapes incorrectes lors de la résolution des problèmes de réécriture du mot de passe.
Pour identifier le compte de connecteur AD DS :
Ouvrez Synchronization Service Manager. Pour ce faire, sélectionnez Démarrer, entrez Microsoft Entra Se connecter, sélectionnez Microsoft Entra Se connecter dans les résultats de la recherche, puis sélectionnez Service de synchronisation.
Sélectionnez l’onglet Connecteurs , puis sélectionnez le connecteur Active Directory applicable. Dans le volet Actions , sélectionnez Propriétés pour ouvrir la boîte de dialogue Propriétés .
Dans le volet gauche de la fenêtre Propriétés , sélectionnez Se connecter à la forêt Active Directory, puis copiez le nom du compte qui apparaît sous nom d’utilisateur.
Vérifier les autorisations existantes du compte de connecteur AD DS
Pour définir les autorisations Active Directory appropriées pour la réécriture du mot de passe, utilisez le module PowerShell ADSyncConfig intégré. Le module ADSyncConfig inclut une méthode permettant de définir des autorisations pour la réécriture du mot de passe à l’aide de l’applet de commande Set-ADSyncPasswordWritebackPermissions .
Pour case activée si le compte de connecteur AD DS (autrement dit, le compte MSOL_) dispose des autorisations appropriées pour un utilisateur spécifique, utilisez l’un des outils suivants :
- Utilisateurs et ordinateurs Active Directory composant logiciel enfichable sur la console MMC (Microsoft Management Console)
- Invite de commandes
- PowerShell
Utilisateurs et ordinateurs Active Directory
Utilisez le composant logiciel enfichable MMC pour Utilisateurs et ordinateurs Active Directory. Procédez comme suit :
Sélectionnez Démarrer, entrez dsa.msc, puis sélectionnez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans les résultats de la recherche.
Sélectionnez Afficher les>fonctionnalités avancées.
Dans l’arborescence de la console, recherchez et sélectionnez le compte d’utilisateur pour lequel vous souhaitez case activée les autorisations. Ensuite, sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité , puis sélectionnez le bouton Avancé .
Dans la boîte de dialogue Paramètres de sécurité avancés du compte, sélectionnez l’onglet Autorisations effectives . Ensuite, dans la section Nom du groupe ou de l’utilisateur , sélectionnez le bouton Sélectionner .
Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur ou un groupe , sélectionnez Recherche avancée>maintenant pour afficher la liste de sélection. Dans la zone de résultats Recherche, sélectionnez le nom du compte MSOL_.
Sélectionnez OK deux fois pour revenir à l’onglet Autorisations effectives dans la boîte de dialogue Paramètres de sécurité avancés . À présent, vous pouvez afficher la liste des autorisations effectives pour le compte MSOL_ qui sont affectées au compte d’utilisateur. La liste des autorisations par défaut requises pour la réécriture du mot de passe est indiquée dans la section Autorisations requises sur l’objet utilisateur de cet article.
Invite de commandes
Utilisez la commande dsacls pour afficher les listes de contrôle d’accès (ACL ou autorisations) du compte de connecteur AD DS. La commande suivante stocke la sortie de la commande dans un fichier texte, bien que vous puissiez la modifier pour afficher la sortie sur la console :
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Vous pouvez utiliser cette méthode pour analyser les autorisations de n’importe quel objet Active Directory. Toutefois, il n’est pas utile de comparer les autorisations entre les objets, car la sortie du texte n’est pas triée.
PowerShell
Utilisez l’applet de commande Get-Acl pour obtenir les autorisations de compte du connecteur AD DS, puis stockez la sortie sous forme de fichier XML à l’aide de l’applet de commande Export-Clixml , comme suit :
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
La méthode PowerShell est utile pour l’analyse hors connexion. Il vous permet d’importer le fichier à l’aide de l’applet de commande Import-Clixml . Il conserve également la structure d’origine de l’ACL et ses propriétés. Vous pouvez utiliser cette méthode pour analyser les autorisations de n’importe quel objet Active Directory.
Éviter les problèmes de réplication lors de la résolution des autorisations
Lorsque vous corrigez les autorisations Active Directory, les modifications apportées à Active Directory peuvent ne pas prendre effet immédiatement. Les autorisations Active Directory sont également soumises à des réplications dans la forêt de la même manière que les objets Active Directory. Comment atténuer les problèmes ou retards de réplication Active Directory ? Vous définissez un contrôleur de domaine préféré dans Microsoft Entra Connect et travaillez uniquement sur ce contrôleur de domaine pour toute modification. Lorsque vous utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur la racine du domaine dans l’arborescence de la console, sélectionnez l’élément de menu Modifier le contrôleur de domaine, puis choisissez le même contrôleur de domaine préféré.
Pour obtenir une case activée d’intégrité rapide dans Active Directory, exécutez le contrôleur de domaine diagnostics à l’aide de la commande dcdiag. Ensuite, exécutez la commande repadmin /replsummary pour afficher un résumé des problèmes de réplication. Les commandes suivantes stockent la sortie de la commande dans des fichiers texte, bien que vous puissiez les modifier pour afficher la sortie sur la console :
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Autorisations requises sur la racine du domaine Active Directory
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur la racine du domaine Active Directory. Ne confondez pas cette racine avec la racine de la forêt Active Directory. Une forêt peut avoir plusieurs domaines Active Directory. Chaque domaine doit avoir les autorisations appropriées définies dans sa propre racine, afin que la réécriture du mot de passe puisse fonctionner pour les utilisateurs de ce domaine.
Vous pouvez afficher les autorisations Active Directory existantes dans les propriétés de sécurité de la racine du domaine. Procédez comme suit :
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans l’arborescence de la console, recherchez et sélectionnez la racine du domaine Active Directory, puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité .
Chacune des sous-sections suivantes contient un tableau des autorisations par défaut de la racine de domaine. Ce tableau affiche les entrées d’autorisation requises pour le nom de groupe ou d’utilisateur figurant dans le titre de la sous-section. Pour afficher et modifier les entrées d’autorisation actuelles afin qu’elles correspondent aux exigences de chaque groupe ou nom d’utilisateur, procédez comme suit pour chaque sous-section :
Sous l’onglet Sécurité , sélectionnez le bouton Avancé pour afficher la boîte de dialogue Paramètres de sécurité avancés . L’onglet Autorisations affiche la liste actuelle des autorisations racine de domaine pour chaque identité Active Directory (principal).
Comparez la liste des autorisations actuelle à la liste des autorisations par défaut pour chaque identité Active Directory (principal).
Si nécessaire, sélectionnez Ajouter pour ajouter les entrées d’autorisation requises manquantes dans la liste actuelle. Vous pouvez également sélectionner une entrée d’autorisation, puis sélectionner Modifier pour modifier cette entrée afin de répondre aux exigences. Répétez cette étape jusqu’à ce que les entrées d’autorisation actuelles correspondent à la table de sous-sections.
Sélectionnez OK pour accepter les modifications dans la boîte de dialogue Paramètres de sécurité avancés et revenir à la boîte de dialogue Propriétés .
Remarque
Les autorisations sur la racine du domaine Active Directory ne sont héritées d’aucun conteneur parent.
Autorisations par défaut racine pour le compte de connecteur AD DS (Autoriser)
| Autorisation | Appliquer à |
|---|---|
| Réinitialiser le mot de passe | Objets d’utilisateur descendant |
| (vide) | Objets msDS-Device descendants |
| Réplication des modifications de répertoire | Cet objet uniquement |
| La réplication du répertoire change tout | Cet objet uniquement |
| Lire toutes les propriétés | Objets publicFolder descendants |
| Lire/écrire toutes les propriétés | Objets InetOrgPerson descendants |
| Lire/écrire toutes les propriétés | Objets de groupe descendant |
| Lire/écrire toutes les propriétés | Objets d’utilisateur descendant |
| Lire/écrire toutes les propriétés | Objets du contact descendant |
Autorisations par défaut racine pour les utilisateurs authentifiés (Autoriser)
| Autorisation | Appliquer à |
|---|---|
| Activer le mot de passe chiffré réversible par utilisateur | Cet objet uniquement |
| Mot de passe non expiré | Cet objet uniquement |
| Bit de mise à jour du mot de passe non requis | Cet objet uniquement |
| Membres spéciaux | Cet objet uniquement |
| (vide) | Cet objet et tous les objets descendants |
Autorisations par défaut racine pour tout le monde (Refuser + Autoriser)
| Type | Autorisation | Appliquer à |
|---|---|---|
| Refuser | Supprimer tous les objets enfants | Cet objet uniquement |
| Autoriser | Lire toutes les propriétés | Cet objet uniquement |
Autorisations racine par défaut pour l’accès compatible pré-Windows 2000 (Autoriser)
| Autorisation | Appliquer à |
|---|---|
| Membres spéciaux | Objets InetOrgPerson descendants |
| Membres spéciaux | Objets de groupe descendant |
| Membres spéciaux | Objets d’utilisateur descendant |
| Membres spéciaux | Cet objet uniquement |
| Affichage du contenu | Cet objet et tous les objets descendants |
Autorisations par défaut racine pour SELF (Autoriser)
| Autorisation | Appliquer à |
|---|---|
| (vide) | Cet objet et tous les objets descendants |
| Membres spéciaux | Tous les objets descendants |
| Attributs d’écriture sur l’ordinateur validés | Objets Computer descendants |
| (vide) | Objets Computer descendants |
Autorisations requises sur l’objet utilisateur
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur l’objet utilisateur cible qui doit mettre à jour le mot de passe. Pour afficher les autorisations de sécurité existantes, procédez comme suit pour afficher les propriétés de sécurité de l’objet utilisateur :
Revenez au composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Utilisez l’arborescence de la console ou l’élément de menu Action>Rechercher pour sélectionner l’objet utilisateur cible, puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité .
Chacune des sous-sections suivantes contient un tableau des autorisations par défaut de l’utilisateur. Ce tableau affiche les entrées d’autorisation requises pour le nom de groupe ou d’utilisateur figurant dans le titre de la sous-section. Pour afficher et modifier les entrées d’autorisation actuelles afin qu’elles correspondent aux exigences de chaque groupe ou nom d’utilisateur, procédez comme suit pour chaque sous-section :
Sous l’onglet Sécurité , sélectionnez le bouton Avancé pour afficher la boîte de dialogue Paramètres de sécurité avancés .
Assurez-vous que le bouton Désactiver l’héritage s’affiche en bas de la boîte de dialogue. Si le bouton Activer l’héritage s’affiche à la place, sélectionnez ce bouton. La fonctionnalité d’activation de l’héritage permet à cet objet d’hériter de toutes les autorisations des conteneurs parents et des unités d’organisation. Cette modification résout le problème.
Sous l’onglet Autorisations , comparez la liste des autorisations actuelle à la liste des autorisations par défaut pour chaque identité Active Directory (principal). L’onglet Autorisations affiche la liste actuelle des autorisations utilisateur pour chaque identité Active Directory (principal).
Si nécessaire, sélectionnez Ajouter pour ajouter les entrées d’autorisation requises manquantes dans la liste actuelle. Vous pouvez également sélectionner une entrée d’autorisation, puis sélectionner Modifier pour modifier cette entrée afin de répondre aux exigences. Répétez cette étape jusqu’à ce que les entrées d’autorisation actuelles correspondent à la table de sous-sections.
Sélectionnez OK pour accepter les modifications dans la boîte de dialogue Paramètres de sécurité avancés et revenir à la boîte de dialogue Propriétés .
Remarque
Contrairement à la racine du domaine Active Directory, les autorisations requises pour l’objet utilisateur sont généralement héritées de la racine du domaine, ou d’un conteneur parent ou d’une unité d’organisation. Les autorisations qui ont été définies directement sur l’objet indiquent un héritage de None. L’héritage de l’entrée de contrôle d’accès (ACE) n’est pas important tant que les valeurs des colonnes Type, Principal, Accès et S’applique à l’autorisation sont identiques. Toutefois, certaines autorisations ne peuvent être définies que dans la racine du domaine. Ces entités sont répertoriées dans les tables de sous-sections.
Autorisations utilisateur par défaut pour le compte de connecteur AD DS (Autoriser)
| Autorisation | Hérité de . | Appliquer à |
|---|---|---|
| Réinitialiser le mot de passe | <racine de domaine> | Objets d’utilisateur descendant |
| (vide) | <racine de domaine> | Objets msDS-Device descendants |
| Lire toutes les propriétés | <racine de domaine> | Objets publicFolder descendants |
| Lire/écrire toutes les propriétés | <racine de domaine> | Objets InetOrgPerson descendants |
| Lire/écrire toutes les propriétés | <racine de domaine> | Objets de groupe descendant |
| Lire/écrire toutes les propriétés | <racine de domaine> | Objets d’utilisateur descendant |
| Lire/écrire toutes les propriétés | <racine de domaine> | Objets du contact descendant |
Autorisations utilisateur par défaut pour les utilisateurs authentifiés (Autoriser)
| Autorisation | Hérité de . | Appliquer à |
|---|---|---|
| Lire les informations générales | Aucun | Cet objet uniquement |
| Lire les informations publiques | Aucun | Cet objet uniquement |
| Lire les informations personnelles | Aucun | Cet objet uniquement |
| Lire les informations web | Aucun | Cet objet uniquement |
| Autorisations en lecture | Aucun | Cet objet uniquement |
| Lire les informations Exchange | <racine de domaine> | Cet objet et tous les objets descendants |
Autorisations utilisateur par défaut pour tout le monde (Autoriser)
| Autorisation | Hérité de . | Appliquer à |
|---|---|---|
| Modifier le mot de passe | Aucun | Cet objet uniquement |
Autorisations utilisateur par défaut pour l’accès compatible pré-Windows 2000 (Autoriser)
Les autorisations spéciales de ce tableau incluent le contenu de la liste, lire toutes les propriétés et les autorisations de lecture .
| Autorisation | Hérité de . | Appliquer à |
|---|---|---|
| Membres spéciaux | <racine de domaine> | Objets InetOrgPerson descendants |
| Membres spéciaux | <racine de domaine> | Objets de groupe descendant |
| Membres spéciaux | <racine de domaine> | Objets d’utilisateur descendant |
| Affichage du contenu | <racine de domaine> | Cet objet et tous les objets descendants |
Autorisations par défaut de l’utilisateur pour SELF (Autoriser)
Les autorisations spéciales de ce tableau incluent uniquement les droits d’informations privées en lecture-écriture .
| Autorisation | Hérité de . | Appliquer à |
|---|---|---|
| Modifier le mot de passe | Aucun | Cet objet uniquement |
| Envoyer en tant que | Aucun | Cet objet uniquement |
| Recevoir en tant que | Aucun | Cet objet uniquement |
| Informations personnelles en lecture-écriture | Aucun | Cet objet uniquement |
| Options de messagerie et de téléphone en lecture-écriture | Aucun | Cet objet uniquement |
| Informations web en lecture/écriture | Aucun | Cet objet uniquement |
| Membres spéciaux | Aucun | Cet objet uniquement |
| Attributs d’écriture sur l’ordinateur validés | <racine de domaine> | Objets Computer descendants |
| (vide) | <racine de domaine> | Objets Computer descendants |
| (vide) | <racine de domaine> | Cet objet et tous les objets descendants |
| Membres spéciaux | <racine de domaine> | Cet objet et tous les objets descendants |
Autorisations requises sur l’objet serveur SAM
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur l’objet serveur du Gestionnaire de compte de sécurité (SAM) (CN=Server,CN=System,DC=Contoso,DC=com). Pour rechercher les propriétés de sécurité de l’objet serveur SAM (samServer), procédez comme suit :
Revenez au composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans l’arborescence de la console, recherchez et sélectionnez le conteneur Système .
Recherchez et sélectionnez Serveur (l’objet samServer), puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés de l’objet, sélectionnez l’onglet Sécurité .
Sélectionnez la boîte de dialogue Paramètres de sécurité avancés . L’onglet Autorisations affiche la liste actuelle des autorisations d’objet samServer pour chaque identité Active Directory (principal).
Vérifiez qu’au moins l’un des principaux suivants est répertorié dans l’entrée de contrôle d’accès pour l’objet samServer. Si seul l’accès compatible pré-Windows 2000 est répertorié, vérifiez que les utilisateurs authentifiés sont membres de ce groupe intégré.
Autorisations pour l’accès compatible pré-Windows 2000 (autoriser)
Les autorisations spéciales doivent inclure les droits Lister le contenu, Lire toutes les propriétés et Autorisations de lecture .
Autorisations pour les utilisateurs authentifiés (autoriser)
Les autorisations spéciales doivent inclure les droits Lister le contenu, Lire toutes les propriétés et Autorisations de lecture .
Autorisations requises sur le conteneur Builtin
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur le conteneur Builtin. Pour afficher les autorisations de sécurité existantes, procédez comme suit pour accéder aux propriétés de sécurité de l’objet intégré :
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans l’arborescence de la console, recherchez et sélectionnez le conteneur Intégré , puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité .
Sélectionnez le bouton Avancé pour afficher la boîte de dialogue Paramètres de sécurité avancés . L’onglet Autorisations affiche la liste actuelle des autorisations de conteneur intégré pour chaque identité Active Directory (principal).
Comparez cette liste d’autorisations actuelle à la liste des autorisations autorisées requises pour le compte MSOL_ , comme suit.
Autorisation Hérité de . Appliquer à Lire/écrire toutes les propriétés <racine de domaine> Objets InetOrgPerson descendants Lire/écrire toutes les propriétés <racine de domaine> Objets de groupe descendant Lire/écrire toutes les propriétés <racine de domaine> Objets d’utilisateur descendant Lire/écrire toutes les propriétés <racine de domaine> Objets du contact descendant Si nécessaire, sélectionnez Ajouter pour ajouter les entrées d’autorisation requises manquantes dans la liste actuelle. Vous pouvez également sélectionner une entrée d’autorisation, puis sélectionner Modifier pour modifier cette entrée afin de répondre aux exigences. Répétez cette étape jusqu’à ce que les entrées d’autorisation actuelles correspondent à la table de sous-sections.
Sélectionnez OK pour quitter la boîte de dialogue Paramètres de sécurité avancés et revenir à la boîte de dialogue Propriétés .
Autres autorisations Active Directory requises
Dans les propriétés du groupe Accès compatible pré-Windows 2000 , accédez à l’onglet Membres et vérifiez que utilisateurs authentifiés est membre de ce groupe. Sinon, vous pouvez rencontrer des problèmes qui affectent la réécriture du mot de passe sur Microsoft Entra Connect et Active Directory (en particulier sur les versions antérieures).
Stratégies de groupe de domaines requises
Pour vous assurer que vous disposez des stratégies de groupe de domaine appropriées, procédez comme suit :
Sélectionnez Démarrer, entrez secpol.msc, puis sélectionnez Stratégie de sécurité locale dans les résultats de la recherche.
Dans l’arborescence de la console, sous Paramètres de sécurité, développez Stratégies locales, puis sélectionnez Attribution des droits utilisateur.
Dans la liste des stratégies, sélectionnez Emprunter l’identité d’un client après l’authentification, puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés , vérifiez que les groupes suivants sont répertoriés sous l’onglet Paramètre de sécurité local :
- Administrateurs
- SERVICE LOCAL
- SERVICE RÉSEAU
- SERVICE
Pour plus d’informations, consultez les valeurs par défaut de la stratégie Emprunter l’identité d’un client après l’authentification.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour