パスワード ライトバックアクセス権とアクセス許可のトラブルシューティング
この記事では、Active Directory のドメイン ルート、ユーザー オブジェクト、および組み込みコンテナーで必要なアクセス権とアクセス許可について説明します。 また、次の項目についても説明します。
- 必要なドメイン グループ ポリシー
- Microsoft Entra Connect で使用されるActive Directory Domain Services (AD DS) コネクタ アカウントを識別する方法
- そのアカウントに対する既存のアクセス許可をチェックする方法
- レプリケーションの問題を回避する方法
この情報は、パスワード ライトバックに関連する特定の問題のトラブルシューティングに役立ちます。
AD DS コネクタ アカウントを特定する
パスワード ライトバックアクセス許可をチェックする前に、Microsoft Entra Connect の現在の AD DS コネクタ アカウント (MSOL_ アカウントとも呼ばれます) を確認します。 このアカウントを確認すると、パスワード ライトバックのトラブルシューティング中に間違った手順を実行しないようにするのに役立ちます。
AD DS コネクタ アカウントを識別するには:
Synchronization Service Manager を開きます。 これを行うには、[スタート] を選択し、「Microsoft Entra接続」と入力し、検索結果で [Microsoft Entra接続] を選択し、[同期サービス] を選択します。
[コネクタ] タブ を 選択し、該当する Active Directory コネクタを選択します。 [ 操作 ] ウィンドウで、[ プロパティ ] を選択して [ プロパティ ] ダイアログ ボックスを開きます。
[ プロパティ ] ウィンドウの左側のウィンドウで、[ Active Directory フォレストに接続] を選択し、[ユーザー名] として表示されるアカウント名をコピー します。
AD DS コネクタ アカウントの既存のアクセス許可を確認する
パスワード ライトバックの正しい Active Directory アクセス許可を設定するには、 組み込みの ADSyncConfig PowerShell モジュールを使用します。 ADSyncConfig モジュールには、Set-ADSyncPasswordWritebackPermissions コマンドレットを使用して、パスワード ライトバックのアクセス許可を設定するメソッドが含まれています。
AD DS Connector アカウント (つまり、MSOL_ アカウント) に特定のユーザーに対する適切なアクセス許可があるかどうかをチェックするには、次のいずれかのツールを使用します。
- Microsoft 管理コンソール (MMC) でスナップインをActive Directory ユーザーとコンピューターする
- コマンド プロンプト
- PowerShell
Active Directory ユーザーとコンピューター スナップイン
Active Directory ユーザーとコンピューターには MMC スナップインを使用します。 次の手順を実行します。
[スタート] を選択し、「dsa.msc」と入力し、検索結果でActive Directory ユーザーとコンピューター スナップインを選択します。
[高度な機能の表示]を選択します>。
コンソール ツリーで、アクセス許可をチェックするユーザー アカウントを見つけて選択します。 次に、[ プロパティ ] アイコンを選択します。
アカウントの [ プロパティ ] ダイアログ ボックスで、[ セキュリティ ] タブを選択し、[ 詳細設定 ] ボタンを選択します。
アカウントの [ セキュリティ設定の詳細設定] ダイアログ ボックスで、[ 有効なアクセス許可 ] タブを選択します。次に、[ グループ名またはユーザー名 ] セクションで[ 選択 ] ボタンを選択します。
[ユーザー、コンピューター、またはグループの選択] ダイアログ ボックスで、[今すぐ検索] を>選択して選択リストを表示します。 [Search結果] ボックスで、MSOL_アカウント名を選択します。
[OK] を 2 回選択して、[セキュリティの詳細設定] ダイアログ ボックスの [有効なアクセス許可] タブに戻ります。 これで、ユーザー アカウントに割り当てられている MSOL_ アカウントの有効なアクセス許可の一覧を表示できるようになりました。 パスワード ライトバックに必要な既定のアクセス許可の一覧は、この記事の「 ユーザー オブジェクトに対する必要なアクセス許可 」セクションに示されています。
コマンド プロンプト
dsacls コマンドを使用して、AD DS Connector アカウントのアクセス制御リスト (ACL、またはアクセス許可) を表示します。 次のコマンドは、コマンド出力をテキスト ファイルに格納しますが、コンソールに出力を表示するように変更できます。
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
このメソッドを使用して、任意の Active Directory オブジェクトのアクセス許可を分析できます。 ただし、テキスト出力が並べ替えられていないため、オブジェクト間のアクセス許可を比較することは役に立ちません。
PowerShell
Get-Acl コマンドレットを使用して AD DS Connector アカウントのアクセス許可を取得し、次のように Export-Clixml コマンドレットを使用して出力を XML ファイルとして格納します。
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
PowerShell メソッドは、オフライン分析に役立ちます。 Import-Clixml コマンドレットを使用してファイルをインポートできます。 また、ACL とそのプロパティの元の構造も保持されます。 このメソッドを使用して、任意の Active Directory オブジェクトのアクセス許可を分析できます。
アクセス許可を修正するときにレプリケーションの問題を回避する
Active Directory のアクセス許可を修正すると、Active Directory への変更がすぐには有効にならない場合があります。 Active Directory のアクセス許可も、Active Directory オブジェクトと同じ方法でフォレスト全体のレプリケーションの対象となります。 Active Directory レプリケーションの問題や遅延を軽減するにはどうすればよいですか? Microsoft Entra Connect で優先ドメイン コントローラーを設定し、そのドメイン コントローラーでのみ変更を行います。 Active Directory ユーザーとコンピューター スナップインを使用する場合は、コンソール ツリーでドメイン ルートを右クリックし、[ドメイン コントローラーの変更] メニュー項目を選択し、同じ優先ドメイン コントローラーを選択します。
Active Directory 内で簡単なサニティ チェックを行う場合は、dcdiag コマンドを使用してドメイン コントローラー 診断を実行します。 次に、 repadmin /replsummary コマンドを実行して、レプリケーションの問題の概要を表示します。 次のコマンドは、コマンド出力をテキスト ファイルに格納しますが、コンソールに出力を表示するように変更できます。
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Active Directory ドメイン ルートに必要なアクセス許可
このセクションでは、Active Directory ドメイン ルートでのパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 このルートと Active Directory フォレストのルートを混同しないでください。 フォレストには、複数の Active Directory ドメインを含めることができます。 パスワード ライトバックをそのドメイン内のユーザーに対して機能させるには、各ドメインに適切なアクセス許可が独自のルートに設定されている必要があります。
ドメイン ルートのセキュリティ プロパティで、既存の Active Directory アクセス許可を表示できます。 次の手順を実行します。
Active Directory ユーザーとコンピューター スナップインを開きます。
コンソール ツリーで、Active Directory ドメイン ルートを見つけて選択し、[ プロパティ ] アイコンを選択します。
アカウントの [ プロパティ ] ダイアログ ボックスで、[ セキュリティ ] タブを選択します。
次の各サブセクションには、ドメイン ルートの既定のアクセス許可のテーブルが含まれています。 次の表は、サブセクション タイトルにあるグループ名またはユーザー名に必要なアクセス許可エントリを示しています。 各グループまたはユーザー名の要件に一致するように現在のアクセス許可エントリを表示および変更するには、サブセクションごとに次の手順に従います。
[ セキュリティ ] タブで、[ 詳細設定 ] ボタンを選択して、[ セキュリティの詳細設定] ダイアログ ボックスを表示します。 [ アクセス許可] タブには、各 Active Directory ID (プリンシパル) のドメイン ルートアクセス許可の現在の一覧が表示されます。
現在のアクセス許可の一覧を、各 Active Directory ID (プリンシパル) の既定のアクセス許可の一覧と比較します。
必要に応じて、[ 追加] を選択して、現在の一覧に存在しない必要なアクセス許可エントリを追加します。 または、アクセス許可エントリを選択し、[ 編集 ] を選択して、要件を満たすようにそのエントリを変更します。 現在のアクセス許可エントリがサブセクション テーブルと一致するまで、この手順を繰り返します。
[ OK] を 選択して [ セキュリティの詳細設定] ダイアログ ボックスの変更を受け入れ、[ プロパティ ] ダイアログ ボックスに戻ります。
注:
Active Directory ドメイン ルートに対するアクセス許可は、親コンテナーから継承されません。
AD DS コネクタ アカウントのルートの既定のアクセス許可 (許可)
| アクセス許可 | 適用先 |
|---|---|
| パスワードのリセット | 子ユーザー オブジェクト |
| (空白) | 子孫 msDS-Device オブジェクト |
| ディレクトリ変更のレプリケート | このオブジェクトのみ |
| ディレクトリのレプリケートによってすべての変更が行われます | このオブジェクトのみ |
| すべてのプロパティの読み取り | 子孫 publicFolder オブジェクト |
| すべてのプロパティの読み取り/書き込み | 子孫 InetOrgPerson オブジェクト |
| すべてのプロパティの読み取り/書き込み | 子孫グループ オブジェクト |
| すべてのプロパティの読み取り/書き込み | 子ユーザー オブジェクト |
| すべてのプロパティの読み取り/書き込み | 子連絡先オブジェクト |
認証済みユーザーのルート既定のアクセス許可 (許可)
| アクセス許可 | 適用先 |
|---|---|
| ユーザーごとに元に戻して暗号化されたパスワードを有効にする | このオブジェクトのみ |
| パスワードの入力を解除する | このオブジェクトのみ |
| パスワードを更新する必要がないビット | このオブジェクトのみ |
| 大切なチーム メンバー | このオブジェクトのみ |
| (空白) | このオブジェクトとすべての子孫オブジェクト |
すべてのユーザーのルートの既定のアクセス許可 (拒否と許可)
| 種類 | アクセス許可 | 適用先 |
|---|---|---|
| 拒否 | すべての子オブジェクトを削除する | このオブジェクトのみ |
| 許可 | すべてのプロパティの読み取り | このオブジェクトのみ |
Windows 2000 以前の互換性のあるアクセスのルートの既定のアクセス許可 (許可)
| アクセス許可 | 適用先 |
|---|---|
| 大切なチーム メンバー | 子孫 InetOrgPerson オブジェクト |
| 大切なチーム メンバー | 子孫グループ オブジェクト |
| 大切なチーム メンバー | 子ユーザー オブジェクト |
| 大切なチーム メンバー | このオブジェクトのみ |
| 内容の一覧表示 | このオブジェクトとすべての子孫オブジェクト |
SELF のルート既定のアクセス許可 (許可)
| アクセス許可 | 適用先 |
|---|---|
| (空白) | このオブジェクトとすべての子孫オブジェクト |
| 大切なチーム メンバー | すべての子孫オブジェクト |
| コンピューター属性への検証済み書き込み | 子のコンピューター オブジェクト |
| (空白) | 子のコンピューター オブジェクト |
ユーザー オブジェクトに対する必要なアクセス許可
このセクションでは、パスワードを更新する必要があるターゲット ユーザー オブジェクトに対するパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 既存のセキュリティ アクセス許可を表示するには、次の手順に従って、ユーザー オブジェクトのセキュリティ プロパティを表示します。
Active Directory ユーザーとコンピューター スナップインに戻ります。
コンソール ツリーまたは [アクション>検索 ] メニュー項目を使用してターゲット ユーザー オブジェクトを選択し、[ プロパティ ] アイコンを選択します。
アカウントの [ プロパティ ] ダイアログ ボックスで、[ セキュリティ ] タブを選択します。
次の各サブセクションには、ユーザーの既定のアクセス許可のテーブルが含まれています。 次の表は、サブセクション タイトルにあるグループ名またはユーザー名に必要なアクセス許可エントリを示しています。 各グループまたはユーザー名の要件に一致するように現在のアクセス許可エントリを表示および変更するには、サブセクションごとに次の手順に従います。
[ セキュリティ ] タブで、[ 詳細設定 ] ボタンを選択して、[ セキュリティの詳細設定] ダイアログ ボックスを表示します。
[ 継承を無効にする] ボタンがダイアログ ボックスの下部付近に表示されていることを確認します。 代わりに [継承の有効化] ボタンが表示されている場合は、そのボタンを選択します。 継承を有効にする機能を使用すると、親コンテナーと組織単位のすべてのアクセス許可をこのオブジェクトによって継承できます。 この変更により、問題が解決されます。
[ アクセス許可 ] タブで、現在のアクセス許可の一覧を、各 Active Directory ID (プリンシパル) の既定のアクセス許可の一覧と比較します。 [ アクセス許可] タブには、各 Active Directory ID (プリンシパル) のユーザーアクセス許可の現在の一覧が表示されます。
必要に応じて、[ 追加] を選択して、現在の一覧に存在しない必要なアクセス許可エントリを追加します。 または、アクセス許可エントリを選択し、[ 編集 ] を選択して、要件を満たすようにそのエントリを変更します。 現在のアクセス許可エントリがサブセクション テーブルと一致するまで、この手順を繰り返します。
[ OK] を 選択して [ セキュリティの詳細設定] ダイアログ ボックスの変更を受け入れ、[ プロパティ ] ダイアログ ボックスに戻ります。
注:
Active Directory ドメイン ルートとは異なり、ユーザー オブジェクトに必要なアクセス許可は通常、ドメイン ルートまたは親コンテナーまたは組織単位から継承されます。 オブジェクトに直接設定されたアクセス許可は、 None からの継承を示します。 アクセス制御エントリ (ACE) の継承は、アクセス許可の 種類、 プリンシパル、 アクセス、 および適用 される列の値が同じである限り、重要ではありません。 ただし、特定のアクセス許可はドメイン ルートでのみ設定できます。 これらのエンティティは、サブセクション テーブルに一覧表示されます。
AD DS コネクタ アカウントのユーザーの既定のアクセス許可 (許可)
| アクセス許可 | から継承されます。 | 適用先 |
|---|---|---|
| パスワードのリセット | <domain root> | 子ユーザー オブジェクト |
| (空白) | <domain root> | 子孫 msDS-Device オブジェクト |
| すべてのプロパティの読み取り | <domain root> | 子孫 publicFolder オブジェクト |
| すべてのプロパティの読み取り/書き込み | <domain root> | 子孫 InetOrgPerson オブジェクト |
| すべてのプロパティの読み取り/書き込み | <domain root> | 子孫グループ オブジェクト |
| すべてのプロパティの読み取り/書き込み | <domain root> | 子ユーザー オブジェクト |
| すべてのプロパティの読み取り/書き込み | <domain root> | 子連絡先オブジェクト |
認証されたユーザーに対するユーザーの既定のアクセス許可 (許可)
| アクセス許可 | から継承されます。 | 適用先 |
|---|---|---|
| 一般的な情報を読み取る | なし | このオブジェクトのみ |
| パブリック情報を読み取る | なし | このオブジェクトのみ |
| 個人情報の読み取り | なし | このオブジェクトのみ |
| Web 情報の読み取り | なし | このオブジェクトのみ |
| アクセス許可の読み取り | なし | このオブジェクトのみ |
| Exchange 情報の読み取り | <domain root> | このオブジェクトとすべての子孫オブジェクト |
Everyone のユーザーの既定のアクセス許可 (許可)
| アクセス許可 | から継承されます。 | 適用先 |
|---|---|---|
| パスワードの変更 | なし | このオブジェクトのみ |
Windows 2000 以前の互換性のあるアクセスに対するユーザーの既定のアクセス許可 (許可)
この表の特殊なアクセス許可には、リストの内容、すべてのプロパティの読み取り、読み取りアクセス許可の権限が含まれます。
| アクセス許可 | から継承されます。 | 適用先 |
|---|---|---|
| 大切なチーム メンバー | <domain root> | 子孫 InetOrgPerson オブジェクト |
| 大切なチーム メンバー | <domain root> | 子孫グループ オブジェクト |
| 大切なチーム メンバー | <domain root> | 子ユーザー オブジェクト |
| 内容の一覧表示 | <domain root> | このオブジェクトとすべての子孫オブジェクト |
SELF のユーザーの既定のアクセス許可 (許可)
このテーブルの 特別な アクセス許可には、 読み取り/書き込みプライベート情報 権限のみが含まれます。
| アクセス許可 | から継承されます。 | 適用先 |
|---|---|---|
| パスワードの変更 | なし | このオブジェクトのみ |
| 差出人を指定して送信する | なし | このオブジェクトのみ |
| として受信する | なし | このオブジェクトのみ |
| 個人情報の読み取り/書き込み | なし | このオブジェクトのみ |
| 電話とメールの読み取り/書き込みオプション | なし | このオブジェクトのみ |
| Web 情報の読み取り/書き込み | なし | このオブジェクトのみ |
| 大切なチーム メンバー | なし | このオブジェクトのみ |
| コンピューター属性への検証済み書き込み | <domain root> | 子のコンピューター オブジェクト |
| (空白) | <domain root> | 子のコンピューター オブジェクト |
| (空白) | <domain root> | このオブジェクトとすべての子孫オブジェクト |
| 大切なチーム メンバー | <domain root> | このオブジェクトとすべての子孫オブジェクト |
SAM サーバー オブジェクトに対する必要なアクセス許可
このセクションでは、セキュリティ アカウント マネージャー (SAM) サーバー オブジェクト (CN=Server、CN=System、DC=Contoso、DC=com) でのパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 SAM サーバー オブジェクト (samServer) のセキュリティ プロパティを見つけるには、次の手順に従います。
Active Directory ユーザーとコンピューター スナップインに戻ります。
コンソール ツリーで、 System コンテナーを見つけて選択します。
[サーバー] (samServer オブジェクト) を見つけて選択し、[プロパティ] アイコンを選択します。
オブジェクトの [ プロパティ ] ダイアログ ボックスで、[ セキュリティ ] タブを選択します。
[ セキュリティの詳細設定] ダイアログ ボックスを選択します。 [ アクセス許可] タブには、各 Active Directory ID (プリンシパル) の samServer オブジェクトのアクセス許可の現在の一覧が表示されます。
samServer オブジェクトのアクセス制御エントリに、次のプリンシパルの少なくとも 1 つが一覧表示されていることを確認します。 Windows 2000 以前の互換性のあるアクセスのみが一覧表示されている場合は、認証されたユーザーがこの組み込みグループのメンバーであることを確認します。
Windows 2000 以前の互換性のあるアクセスのアクセス許可 (許可)
特別なアクセス許可には、リストの内容、すべてのプロパティの読み取り、読み取りアクセス許可の権限が含まれている必要があります。
認証済みユーザーのアクセス許可 (許可)
特別なアクセス許可には、リストの内容、すべてのプロパティの読み取り、読み取りアクセス許可の権限が含まれている必要があります。
組み込みコンテナーに必要なアクセス許可
このセクションでは、組み込みコンテナーでのパスワード ライトバックに必要な Active Directory アクセス許可について説明します。 既存のセキュリティ アクセス許可を表示するには、次の手順に従って、組み込みオブジェクトのセキュリティ プロパティを取得します。
Active Directory ユーザーとコンピューター スナップインに開きます。
コンソール ツリーで、 組み込み コンテナーを見つけて選択し、[ プロパティ ] アイコンを選択します。
アカウントの [ プロパティ ] ダイアログ ボックスで、[ セキュリティ ] タブを選択します。
[ 詳細設定 ] ボタンを選択して、[ セキュリティの詳細設定] ダイアログ ボックスを表示します。 [ アクセス許可] タブには、各 Active Directory ID (プリンシパル) の組み込みコンテナーのアクセス許可の現在の一覧が表示されます。
次のように、この現在のアクセス許可リストを 、MSOL_ アカウントに必要な許可アクセス許可の一覧と比較します。
アクセス許可 から継承されます。 適用先 すべてのプロパティの読み取り/書き込み <domain root> 子孫 InetOrgPerson オブジェクト すべてのプロパティの読み取り/書き込み <domain root> 子孫グループ オブジェクト すべてのプロパティの読み取り/書き込み <domain root> 子ユーザー オブジェクト すべてのプロパティの読み取り/書き込み <domain root> 子連絡先オブジェクト 必要に応じて、[ 追加] を選択して、現在の一覧に存在しない必要なアクセス許可エントリを追加します。 または、アクセス許可エントリを選択し、[ 編集 ] を選択して、要件を満たすようにそのエントリを変更します。 現在のアクセス許可エントリがサブセクション テーブルと一致するまで、この手順を繰り返します。
[ OK] を 選択して [ セキュリティの詳細設定] ダイアログ ボックスを終了し、[ プロパティ ] ダイアログ ボックスに戻ります。
その他の必要な Active Directory アクセス許可
Windows 2000 以前の互換性のあるアクセス グループのプロパティで、[メンバー] タブに移動し、認証済みユーザーがこのグループのメンバーであることを確認します。 そうしないと、Microsoft Entra Connect と Active Directory (特に古いバージョン) でパスワード ライトバックに影響する問題が発生する可能性があります。
必要なドメイン グループ ポリシー
正しいドメイン グループ ポリシーがあることを確認するには、次の手順に従います。
[ スタート] を選択 し、「secpol.msc」と入力し、検索結果で [ローカル セキュリティ ポリシー ] を選択します。
コンソール ツリーの [ セキュリティ設定] で、[ ローカル ポリシー] を展開し、[ ユーザー権利の割り当て] を選択します。
ポリシーの一覧で、[ 認証後にクライアントを偽装する] を選択し、[ プロパティ ] アイコンを選択します。
[ プロパティ ] ダイアログ ボックスで、[ ローカル セキュリティ設定 ] タブに次のグループが一覧表示されていることを確認します。
- 管理者
- LOCAL SERVICE
- NETWORK SERVICE
- SERVICE
詳細については、「認証後にクライアントを偽装する」ポリシーの既定値を参照してください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示