Устранение неполадок с правами доступа и разрешениями обратной записи паролей
В этой статье описаны права доступа и разрешения, необходимые в корневом каталоге домена, объекте пользователя и контейнере Builtin в Active Directory. В ней также рассматриваются следующие элементы:
- Обязательные политики группы домена
- Определение учетной записи соединителя доменные службы Active Directory (AD DS), которую использует Microsoft Entra Connect
- Как проверка существующих разрешений для этой учетной записи
- Как избежать проблем с репликацией
Эти сведения помогут устранить определенные проблемы, связанные с обратной записью паролей.
Определение учетной записи соединителя AD DS
Прежде чем проверка разрешения обратной записи паролей, проверьте текущую учетную запись соединителя AD DS (также известную как учетная запись MSOL_) в Microsoft Entra Connect. Проверка этой учетной записи помогает избежать неправильных действий при обратной записи паролей.
Чтобы определить учетную запись соединителя AD DS, выполните следующие действия.
Откройте Synchronization Service Manager. Для этого нажмите кнопку Пуск, введите Microsoft Entra Connect, выберите Microsoft Entra Подключить в результатах поиска, а затем выберите Служба синхронизации.
Перейдите на вкладку Соединители , а затем выберите соответствующий соединитель Active Directory. В области Действия выберите Свойства , чтобы открыть диалоговое окно Свойства .
В левой области окна Свойства выберите Подключиться к лесу Active Directory, а затем скопируйте имя учетной записи, которое отображается как Имя пользователя.
Проверка существующих разрешений учетной записи соединителя AD DS
Чтобы задать правильные разрешения Active Directory для обратной записи паролей, используйте встроенный модуль PowerShell ADSyncConfig. Модуль ADSyncConfig содержит метод для задания разрешений для обратной записи паролей с помощью командлета Set-ADSyncPasswordWritebackPermissions .
Чтобы проверка, имеет ли учетная запись соединителя AD DS (то есть учетная запись MSOL_) правильные разрешения для конкретного пользователя, используйте одно из следующих средств:
- Пользователи и компьютеры Active Directory оснастки в консоли управления (MMC)
- Запускается из командной строки
- PowerShell
Оснастка «Active Directory — пользователи и компьютеры»
Используйте оснастку MMC для Пользователи и компьютеры Active Directory. Выполните следующие действия:
Нажмите кнопку Пуск, введите dsa.msc, а затем выберите оснастку Пользователи и компьютеры Active Directory в результатах поиска.
Выберите Просмотреть>дополнительные функции.
В дереве консоли найдите и выберите учетную запись пользователя, для которой нужно проверка разрешения. Затем щелкните значок Свойства .
В диалоговом окне Свойства учетной записи выберите вкладку Безопасность , а затем нажмите кнопку Дополнительно .
В диалоговом окне Дополнительные параметры безопасности для учетной записи выберите вкладку Действующие разрешения . Затем в разделе Имя группы или пользователя нажмите кнопку Выбрать .
В диалоговом окне Выбор пользователя, компьютера или группы выберите Дополнительно>найти , чтобы отобразить список выбора. В поле результаты Поиск выберите имя учетной записи MSOL_.
Дважды нажмите кнопку ОК , чтобы вернуться на вкладку Действующие разрешения в диалоговом окне Дополнительные параметры безопасности . Теперь можно просмотреть список действующих разрешений для учетной записи MSOL_ , назначенных учетной записи пользователя. Список разрешений по умолчанию, необходимых для обратной записи паролей, показан в разделе Необходимые разрешения для объекта пользователя этой статьи.
Запускается из командной строки
Используйте команду dsacls для отображения списков управления доступом (ACL или разрешений) учетной записи соединителя AD DS. Следующая команда сохраняет выходные данные команды в текстовом файле, хотя их можно изменить для отображения выходных данных в консоли:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Этот метод можно использовать для анализа разрешений для любого объекта Active Directory. Однако сравнивать разрешения между объектами не рекомендуется, так как выходные данные текста не отсортированы.
PowerShell
Используйте командлет Get-Acl , чтобы получить разрешения учетной записи соединителя AD DS, а затем сохраните выходные данные в виде XML-файла с помощью командлета Export-Clixml следующим образом:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
Метод PowerShell полезен для автономного анализа. Он позволяет импортировать файл с помощью командлета Import-Clixml . Он также сохраняет исходную структуру списка ACL и его свойства. Этот метод можно использовать для анализа разрешений для любого объекта Active Directory.
Избегайте проблем с репликацией при исправлении разрешений
При исправлении разрешений Active Directory изменения в Active Directory могут вступают в силу не сразу. Разрешения Active Directory также подлежат репликации в лесу так же, как и объекты Active Directory. Как устранить проблемы или задержки репликации Active Directory? Вы устанавливаете предпочтительный контроллер домена в Microsoft Entra Connect и работаете только с этим контроллером домена при любых изменениях. При использовании оснастки Пользователи и компьютеры Active Directory щелкните правой кнопкой мыши корень домена в дереве консоли, выберите пункт меню Изменение контроллера домена, а затем выберите тот же предпочтительный контроллер домена.
Для быстрого проверка работоспособности в Active Directory запустите контроллер домена диагностика с помощью команды dcdiag. Затем выполните команду repadmin /replsummary , чтобы просмотреть сводку проблем с репликацией. Следующие команды сохраняют выходные данные команды в текстовых файлах, хотя их можно изменить для отображения выходных данных в консоли:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Необходимые разрешения в корневом каталоге домена Active Directory
В этом разделе описаны ожидаемые разрешения Active Directory для обратной записи паролей в корневом каталоге домена Active Directory. Не путайте этот корень с корнем леса Active Directory. Лес может иметь несколько доменов Active Directory. Каждый домен должен иметь правильные разрешения, заданные в собственном корневом каталоге, чтобы обратная запись паролей могла работать для пользователей в этом домене.
Существующие разрешения Active Directory можно просмотреть в свойствах безопасности корневого каталога домена. Выполните следующие действия:
Откройте оснастку Пользователи и компьютеры Active Directory.
В дереве консоли найдите и выберите корневой каталог домена Active Directory, а затем щелкните значок Свойства .
В диалоговом окне Свойства учетной записи выберите вкладку Безопасность .
Каждый из следующих подразделов содержит таблицу разрешений корневого домена по умолчанию. В этой таблице показаны необходимые записи разрешений для группы или имени пользователя в заголовке подраздела. Чтобы просмотреть и изменить текущие записи разрешений в соответствии с требованиями для каждой группы или имени пользователя, выполните следующие действия для каждого подраздела:
На вкладке Безопасность нажмите кнопку Дополнительно , чтобы открыть диалоговое окно Дополнительные параметры безопасности . На вкладке Разрешения отображается текущий список разрешений корневого домена для каждого удостоверения Active Directory (субъекта).
Сравните текущий список разрешений со списком разрешений по умолчанию для каждого удостоверения Active Directory (субъекта).
При необходимости нажмите кнопку Добавить , чтобы добавить необходимые записи разрешений, отсутствующие в текущем списке. Или выберите запись разрешения, а затем нажмите кнопку Изменить , чтобы изменить ее в соответствии с требованиями. Повторите этот шаг, пока текущие записи разрешений не соответствуют таблице подразделов.
Нажмите кнопку ОК , чтобы принять изменения в диалоговом окне Дополнительные параметры безопасности и вернуться в диалоговое окно Свойства .
Примечание.
Разрешения в корневом каталоге домена Active Directory не наследуются ни от одного родительского контейнера.
Корневые разрешения по умолчанию для учетной записи соединителя AD DS (разрешить)
| Разрешение | Применимо к |
|---|---|
| Сброс пароля | К дочерним объектам-пользователям |
| (пустая) | Потомки объектов msDS-Device |
| Репликация изменений каталога | Только к этому объекту |
| Репликация каталогов изменяет все | Только к этому объекту |
| Чтение всех свойств | Дочерние объекты publicFolder |
| Чтение и запись всех свойств | Потомки объектов InetOrgPerson |
| Чтение и запись всех свойств | Объекты группы потомков |
| Чтение и запись всех свойств | К дочерним объектам-пользователям |
| Чтение и запись всех свойств | К дочерним контактным объектам |
Разрешения корневого каталога по умолчанию для пользователей, прошедших проверку подлинности (разрешить)
| Разрешение | Применимо к |
|---|---|
| Включение обратимо зашифрованного пароля для каждого пользователя | Только к этому объекту |
| Отмена действия пароля | Только к этому объекту |
| Обновление пароля не требуется бит | Только к этому объекту |
| Специалистами | Только к этому объекту |
| (пустая) | Этот объект и все объекты-потомки |
Корневые разрешения по умолчанию для всех (запрет + разрешить)
| Тип | Разрешение | Применимо к |
|---|---|---|
| Запретить | Удаление всех дочерних объектов | Только к этому объекту |
| Разрешить | Чтение всех свойств | Только к этому объекту |
Разрешения root по умолчанию для совместимого доступа с Windows 2000 (разрешить)
| Разрешение | Применимо к |
|---|---|
| Специалистами | Потомки объектов InetOrgPerson |
| Специалистами | Объекты группы потомков |
| Специалистами | К дочерним объектам-пользователям |
| Специалистами | Только к этому объекту |
| перечень содержимого; | Этот объект и все объекты-потомки |
Корневые разрешения по умолчанию для SELF (разрешить)
| Разрешение | Применимо к |
|---|---|
| (пустая) | Этот объект и все объекты-потомки |
| Специалистами | Все объекты-потомки |
| Проверенные атрибуты записи на компьютер | Объектам-потомкам Computer |
| (пустая) | Объектам-потомкам Computer |
Необходимые разрешения для объекта user
В этом разделе описываются ожидаемые разрешения Active Directory для обратной записи паролей для целевого объекта пользователя, которому необходимо обновить пароль. Чтобы просмотреть существующие разрешения безопасности, выполните следующие действия, чтобы отобразить свойства безопасности объекта пользователя:
Вернитесь к оснастке Пользователи и компьютеры Active Directory.
Используйте дерево консоли или пункт меню Поиск действий>, чтобы выбрать целевой объект пользователя, а затем щелкните значок Свойства.
В диалоговом окне Свойства учетной записи выберите вкладку Безопасность .
Каждый из следующих подразделов содержит таблицу разрешений пользователя по умолчанию. В этой таблице показаны необходимые записи разрешений для группы или имени пользователя в заголовке подраздела. Чтобы просмотреть и изменить текущие записи разрешений в соответствии с требованиями для каждой группы или имени пользователя, выполните следующие действия для каждого подраздела:
На вкладке Безопасность нажмите кнопку Дополнительно , чтобы открыть диалоговое окно Дополнительные параметры безопасности .
Убедитесь, что в нижней части диалогового окна отображается кнопка Отключить наследование . Если вместо этого отображается кнопка Включить наследование , нажмите ее. Функция включения наследования позволяет этому объекту наследовать все разрешения от родительских контейнеров и подразделений. Это изменение устраняет проблему.
На вкладке Разрешения сравните текущий список разрешений со списком разрешений по умолчанию для каждого удостоверения Active Directory (субъекта). На вкладке Разрешения отображается текущий список разрешений пользователя для каждого удостоверения Active Directory (субъекта).
При необходимости нажмите кнопку Добавить , чтобы добавить необходимые записи разрешений, отсутствующие в текущем списке. Или выберите запись разрешения, а затем нажмите кнопку Изменить , чтобы изменить ее в соответствии с требованиями. Повторите этот шаг, пока текущие записи разрешений не соответствуют таблице подразделов.
Нажмите кнопку ОК , чтобы принять изменения в диалоговом окне Дополнительные параметры безопасности и вернуться в диалоговое окно Свойства .
Примечание.
В отличие от корневого каталога домена Active Directory необходимые разрешения для объекта пользователя обычно наследуются от корневого каталога домена или родительского контейнера или подразделения. Разрешения, заданные непосредственно для объекта, указывают на наследование от None. Наследование записи управления доступом (ACE) не важно, если значения в столбцах Type, Principal, Access и Applies для разрешения совпадают. Однако некоторые разрешения можно задать только в корневом каталоге домена. Эти сущности перечислены в таблицах подразделов.
Разрешения пользователя по умолчанию для учетной записи соединителя AD DS (разрешить)
| Разрешение | Наследуется от . | Применимо к |
|---|---|---|
| Сброс пароля | <корневой каталог домена> | К дочерним объектам-пользователям |
| (пустая) | <корневой каталог домена> | Потомки объектов msDS-Device |
| Чтение всех свойств | <корневой каталог домена> | Дочерние объекты publicFolder |
| Чтение и запись всех свойств | <корневой каталог домена> | Потомки объектов InetOrgPerson |
| Чтение и запись всех свойств | <корневой каталог домена> | Объекты группы потомков |
| Чтение и запись всех свойств | <корневой каталог домена> | К дочерним объектам-пользователям |
| Чтение и запись всех свойств | <корневой каталог домена> | К дочерним контактным объектам |
Разрешения пользователя по умолчанию для пользователей, прошедших проверку подлинности (разрешить)
| Разрешение | Наследуется от . | Применимо к |
|---|---|---|
| Чтение общих сведений | Нет | Только к этому объекту |
| Чтение общедоступной информации | Нет | Только к этому объекту |
| Чтение персональных данных | Нет | Только к этому объекту |
| Чтение веб-сведений | Нет | Только к этому объекту |
| чтение; | Нет | Только к этому объекту |
| Чтение сведений об Exchange | <корневой каталог домена> | Этот объект и все объекты-потомки |
Разрешения пользователя по умолчанию для всех (разрешить)
| Разрешение | Наследуется от . | Применимо к |
|---|---|---|
| Смена пароля | Нет | Только к этому объекту |
Разрешения пользователя по умолчанию для доступа, совместимого с Windows 2000 (разрешить)
Специальные разрешения в этой таблице включают содержимое списка, чтение всех свойств и права на чтение разрешений.
| Разрешение | Наследуется от . | Применимо к |
|---|---|---|
| Специалистами | <корневой каталог домена> | Потомки объектов InetOrgPerson |
| Специалистами | <корневой каталог домена> | Объекты группы потомков |
| Специалистами | <корневой каталог домена> | К дочерним объектам-пользователям |
| перечень содержимого; | <корневой каталог домена> | Этот объект и все объекты-потомки |
Разрешения пользователя по умолчанию для SELF (разрешить)
Специальные разрешения в этой таблице включают только права на чтение и запись частной информации.
| Разрешение | Наследуется от . | Применимо к |
|---|---|---|
| Смена пароля | Нет | Только к этому объекту |
| "Отправить как" | Нет | Только к этому объекту |
| Получение как | Нет | Только к этому объекту |
| Чтение и запись персональных данных | Нет | Только к этому объекту |
| Параметры чтения и записи телефона и почты | Нет | Только к этому объекту |
| Чтение и запись веб-сведений | Нет | Только к этому объекту |
| Специалистами | Нет | Только к этому объекту |
| Проверенные атрибуты записи на компьютер | <корневой каталог домена> | Объектам-потомкам Computer |
| (пустая) | <корневой каталог домена> | Объектам-потомкам Computer |
| (пустая) | <корневой каталог домена> | Этот объект и все объекты-потомки |
| Специалистами | <корневой каталог домена> | Этот объект и все объекты-потомки |
Необходимые разрешения для объекта сервера SAM
В этом разделе описываются ожидаемые разрешения Active Directory для обратной записи паролей в объекте сервера диспетчера учетных записей безопасности (SAM) (CN=Server,CN=System,DC=Contoso,DC=com). Чтобы найти свойства безопасности объекта сервера SAM (samServer), выполните следующие действия.
Вернитесь к оснастке Пользователи и компьютеры Active Directory.
В дереве консоли найдите и выберите контейнер Система .
Найдите и выберите Сервер (объект samServer), а затем щелкните значок Свойства .
В диалоговом окне Свойства объекта выберите вкладку Безопасность .
Выберите диалоговое окно Дополнительные параметры безопасности . На вкладке Разрешения отображается текущий список разрешений объектов samServer для каждого удостоверения Active Directory (Principal).
Убедитесь, что в записи управления доступом для объекта samServer указан по крайней мере один из следующих субъектов. Если в списке указан только совместимый доступ до Windows 2000 , убедитесь, что пользователи, прошедшие проверку подлинности , являются членом этой встроенной группы.
Разрешения для доступа, совместимого с Windows 2000 (разрешить)
Специальные разрешения должны включать в себя права на содержимое списка, чтение всех свойств и разрешения на чтение .
Разрешения для пользователей, прошедших проверку подлинности (разрешить)
Специальные разрешения должны включать в себя права на содержимое списка, чтение всех свойств и разрешения на чтение .
Необходимые разрешения для контейнера Builtin
В этом разделе описываются ожидаемые разрешения Active Directory для обратной записи паролей в контейнере Builtin. Чтобы просмотреть существующие разрешения безопасности, выполните следующие действия, чтобы получить доступ к свойствам безопасности встроенного объекта:
Откройте оснастку Пользователи и компьютеры Active Directory.
В дереве консоли найдите и выберите контейнер Builtin , а затем щелкните значок Свойства .
В диалоговом окне Свойства учетной записи выберите вкладку Безопасность .
Нажмите кнопку Дополнительно , чтобы открыть диалоговое окно Дополнительные параметры безопасности . На вкладке Разрешения отображается текущий список разрешений контейнера Builtin для каждого удостоверения Active Directory (Principal).
Сравните текущий список разрешений со списком необходимых разрешений для учетной записи MSOL_ , как показано ниже.
Разрешение Наследуется от . Применимо к Чтение и запись всех свойств <корневой каталог домена> Потомки объектов InetOrgPerson Чтение и запись всех свойств <корневой каталог домена> Объекты группы потомков Чтение и запись всех свойств <корневой каталог домена> К дочерним объектам-пользователям Чтение и запись всех свойств <корневой каталог домена> К дочерним контактным объектам При необходимости нажмите кнопку Добавить , чтобы добавить необходимые записи разрешений, отсутствующие в текущем списке. Или выберите запись разрешения, а затем нажмите кнопку Изменить , чтобы изменить ее в соответствии с требованиями. Повторите этот шаг, пока текущие записи разрешений не соответствуют таблице подразделов.
Нажмите кнопку ОК , чтобы выйти из диалогового окна Дополнительные параметры безопасности и вернуться в диалоговое окно Свойства .
Другие необходимые разрешения Active Directory
В свойствах группы "Совместимый доступ до Windows 2000" перейдите на вкладку Участники и убедитесь, что пользователи, прошедшие проверку подлинности , входят в эту группу. В противном случае могут возникнуть проблемы, влияющие на обратную запись паролей в Microsoft Entra Connect и Active Directory (особенно в более старых версиях).
Обязательные политики группы домена
Чтобы убедиться, что у вас есть правильные политики группы домена, выполните следующие действия.
Нажмите кнопку Пуск, введите secpol.msc, а затем в результатах поиска выберите Локальная политика безопасности .
В дереве консоли в разделе Параметры безопасности разверните узел Локальные политики, а затем выберите Назначение прав пользователя.
В списке политик выберите Олицетворить клиента после проверки подлинности, а затем щелкните значок Свойства .
В диалоговом окне Свойства убедитесь, что на вкладке Локальный параметр безопасности перечислены следующие группы:
- Администраторы
- ЛОКАЛЬНАЯ СЛУЖБА
- NETWORK SERVICE
- SERVICE
Дополнительные сведения см. в разделе Значения по умолчанию для политики олицетворения клиента после проверки подлинности.
Свяжитесь с нами для получения помощи
Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.