針對密碼回寫訪問許可權和許可權進行疑難解答
本文說明網域根目錄、用戶物件和 Active Directory 中的 Builtin 容器中所需的訪問許可權和許可權。 它也會討論下列專案:
- 必要的網域組策略
- 如何識別 Microsoft Entra Connect 使用的 Active Directory 網域服務 (AD DS) 連接器帳戶
- 如何檢查該帳戶的現有許可權
- 如何避免復寫問題
這項資訊可協助您針對涉及密碼回寫的特定問題進行疑難解答。
識別 AD DS 連接器帳戶
檢查密碼回寫許可權之前,請確認目前的 AD DS 連接器帳戶 (也稱為 Microsoft Entra Connect 中的MSOL_帳戶) 。 驗證此帳戶可協助您避免在密碼回寫疑難解答期間採取錯誤的步驟。
若要識別 AD DS 連接器帳戶:
開啟 Synchronization Service Manager。 若要這樣做,請選取 [開始]、輸入 Microsoft Entra Connect、在搜尋結果中選取 [Microsoft Entra Connect],然後選取 [同步處理服務]。
選取 [ 連接器] 索引 標籤,然後選取適用的 Active Directory 連接器。 在 [ 動作] 窗格中,選取 [ 屬性 ] 以開啟 [ 屬性 ] 對話框。
在 [ 屬性 ] 視窗的左窗格中,選取 [ 連線到 Active Directory 樹系],然後複製顯示為 [用戶名稱] 的帳戶名稱。
檢查 AD DS 連接器帳戶的現有許可權
若要為密碼回寫設定正確的 Active Directory 許可權, 請使用內建的 ADSyncConfig PowerShell 模組。 ADSyncConfig 模組包含使用 Set-ADSyncPasswordWritebackPermissions Cmdlet 設定密碼回寫許可權的方法。
若要檢查 AD DS 連接器帳戶是否 (也就是 ,MSOL_ 帳戶) 具有特定使用者的正確許可權,請使用下列其中一個工具:
- 在 Microsoft Management Console (MMC) 上 Active Directory 使用者和電腦 嵌入式管理單元
- 命令提示字元
- PowerShell
Active Directory 使用者和電腦嵌入式管理單元
使用 MMC 嵌入式管理單元進行 Active Directory 使用者和電腦。 依照下列步驟執行:
選取 [開始],輸入 dsa.msc,然後在搜尋結果中選取 Active Directory 使用者和電腦 嵌入式管理單元。
選 取 [檢視>進階功能]。
在主控台樹中,尋找並選取您想要檢查許可權的用戶帳戶。 然後,選取 [屬性] 圖示。
在帳戶的 [ 屬性 ] 對話框中,選取 [ 安全 性] 索引標籤,然後選取 [ 進階 ] 按鈕。
在帳戶 的 [進階安全性設定 ] 對話框中,選取 [ 有效許可權] 索引卷 標。然後,在 [ 群組或用戶名稱] 區段中,選取 [ 選取 ] 按鈕。
在 [ 選取使用者、計算機或群組 ] 對話框中,選取 [立即 進階>尋找 ] 以顯示選取清單。 在 [搜尋 結果] 方塊中,選取MSOL_帳戶名稱。
選取 [確定] 兩次,返回 [進階安全性設定] 對話框中的 [有效許可權] 索引卷標。 現在,您可以檢視指派給用戶帳戶之 MSOL_ 帳戶的有效許可權清單。 密碼回寫所需的預設許可權清單會顯示在本文中 用戶物件的必要 許可權一節中。
命令提示字元
使用 dsacls 命令來顯示訪問控制清單 (ACL,或 AD DS 連接器帳戶) 許可權。 下列命令會將命令輸出儲存在文字檔中,不過您可以修改它以在控制台上顯示輸出:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
您可以使用這個方法來分析任何 Active Directory 物件的許可權。 不過,比較對象之間的許可權並不實用,因為文字輸出不會排序。
PowerShell
使用 Get-Acl Cmdlet 取得 AD DS 連接器帳戶許可權,然後使用 Export-Clixml Cmdlet 將輸出儲存為 XML 檔案,如下所示:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
PowerShell 方法適用於離線分析。 它可讓您使用 Import-Clixml Cmdlet 匯入檔案。 它也會保留 ACL 的原始結構及其屬性。 您可以使用這個方法來分析任何 Active Directory 物件的許可權。
修正許可權時避免復寫問題
當您修正 Active Directory 許可權時,Active Directory 的變更可能不會立即生效。 Active Directory 許可權也受限於以 Active Directory 物件相同的方式跨樹系複寫。 如何減輕 Active Directory 複寫問題或延遲? 您在 Microsoft Entra Connect 中設定慣用的域控制器,並只在該域控制器上進行任何變更。 當您使用 Active Directory 使用者和電腦 嵌入式管理單元時,以滑鼠右鍵按下主控台樹狀結構中的網域根目錄,選取 [變更域控制器] 選單項,然後挑選相同的慣用域控制器。
如需 Active Directory 內的快速例行性檢查,請使用 dcdiag 命令來執行域控制器診斷。 然後,執行 repadmin /replsummary 命令以檢視複寫問題的摘要。 下列命令會將命令輸出儲存至文字檔,但您可以修改它們以在控制台上顯示輸出:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Active Directory 網域根目錄的必要許可權
本節說明 Active Directory 網域根目錄上密碼回寫的預期 Active Directory 許可權。 請勿將此根目錄與 Active Directory 樹系的根目錄混淆。 樹系可以有多個 Active Directory 網域。 每個網域都必須在其自己的根目錄中設定正確的許可權,密碼回寫才能適用於該網域中的使用者。
您可以在網域根目錄的安全性屬性中檢視現有的 Active Directory 許可權。 依照下列步驟執行:
開啟 Active Directory 使用者和電腦 嵌入式管理單元。
在主控台樹中,找出並選取 Active Directory 網域根目錄,然後選取 [ 屬性] 圖示。
在帳戶的 [ 屬性 ] 對話框中,選取 [安全性] 索引 卷標。
下列每個子區段都包含網域根預設許可權的數據表。 下表顯示子區段標題中群組或用戶名稱的必要許可權專案。 若要檢視和修改目前的許可權專案,以符合每個群組或用戶名稱的需求,請針對每個子區段遵循下列步驟:
在 [ 安全性] 索引標籤上,選取 [ 進階 ] 按鈕以檢視 [ 進階安全性設定 ] 對話方塊。 [ 許可權] 索引標籤會顯示每個 Active Directory 身分識別 (主體) 的目前網域根許可權清單。
比較目前的許可權清單與每個 Active Directory 身分識別的預設許可權清單 (主體) 。
如有必要,請選取 [新增 ] 以新增目前清單中缺少的必要許可權專案。 或者,選取許可權項目,然後選取 [ 編輯 ] 以修改該專案以符合需求。 重複此步驟,直到目前的許可權專案符合子區段數據表為止。
選取 [確定 ] 以接受 [ 進階安全性設定 ] 對話框中的變更,然後返回 [ 屬性 ] 對話框。
注意事項
Active Directory 網域根目錄的許可權不會繼承自任何父容器。
AD DS 連接器帳戶的根默認許可權 (允許)
| 權限 | 套用到 |
|---|---|
| 重設密碼 | 子系用戶物件 |
| (空白) | 子系 msDS-Device 物件 |
| 複寫目錄變更 | 僅限此物件 |
| 全部複寫目錄變更 | 僅限此物件 |
| 讀取所有屬性 | Descendant publicFolder 物件 |
| 讀取/寫入所有屬性 | Descendant InetOrgPerson 物件 |
| 讀取/寫入所有屬性 | 子系群組物件 |
| 讀取/寫入所有屬性 | 子系用戶物件 |
| 讀取/寫入所有屬性 | 子系 Contact 物件 |
已驗證使用者的根預設許可權 (允許)
| 權限 | 套用到 |
|---|---|
| 為每位用戶啟用可逆加密的密碼 | 僅限此物件 |
| Unexpire 密碼 | 僅限此物件 |
| 更新不需要的密碼位 | 僅限此物件 |
| 特殊 | 僅限此物件 |
| (空白) | 這個物件和所有子系物件 |
所有人的根默認許可權 (拒絕 + 允許)
| 類型 | 權限 | 套用到 |
|---|---|---|
| Deny | 刪除所有子物件 | 僅限此物件 |
| 允許 | 讀取所有屬性 | 僅限此物件 |
Windows 2000 之前相容存取的根默認許可權 (允許)
| 權限 | 套用到 |
|---|---|
| 特殊 | Descendant InetOrgPerson 物件 |
| 特殊 | 子系群組物件 |
| 特殊 | 子系用戶物件 |
| 特殊 | 僅限此物件 |
| 清單內容 | 這個物件和所有子系物件 |
SELF (允許) 的根默認許可權
| 權限 | 套用到 |
|---|---|
| (空白) | 這個物件和所有子系物件 |
| 特殊 | 所有子系物件 |
| 已驗證的電腦屬性寫入 | 子系計算機物件 |
| (空白) | 子系計算機物件 |
用戶物件的必要許可權
本節描述必須更新密碼之目標用戶對象上密碼回寫的預期 Active Directory 許可權。 若要檢視現有的安全性許可權,請遵循下列步驟來顯示使用者物件的安全性屬性:
返回 Active Directory 使用者和電腦 嵌入式管理單元。
使用主控台樹或 [ 動作>尋找] 選單項來選取目標使用者物件,然後選取 [ 屬性] 圖示。
在帳戶的 [ 屬性 ] 對話框中,選取 [安全性] 索引 卷標。
下列每個子區段都包含用戶默認許可權的數據表。 下表顯示子區段標題中群組或用戶名稱的必要許可權專案。 若要檢視和修改目前的許可權專案,以符合每個群組或用戶名稱的需求,請針對每個子區段遵循下列步驟:
在 [ 安全性] 索引標籤上,選取 [ 進階 ] 按鈕以檢視 [ 進階安全性設定 ] 對話方塊。
請確定對話框底部附近已顯示 [ 停用繼承 ] 按鈕。 如果改為顯示 [ 啟用繼承 ] 按鈕,請選取該按鈕。 啟用繼承功能可讓這個物件繼承父容器和組織單位的所有許可權。 這項變更可解決此問題。
在 [ 許可權] 索 引標籤上,比較目前的許可權清單與每個 Active Directory 身分識別的預設許可權清單 (主體) 。 [ 許可權] 索引 標籤會顯示每個 Active Directory 身分識別 (主體) 的目前使用者權力清單。
如有必要,請選取 [新增 ] 以新增目前清單中缺少的必要許可權專案。 或者,選取許可權項目,然後選取 [ 編輯 ] 以修改該專案以符合需求。 重複此步驟,直到目前的許可權專案符合子區段數據表為止。
選取 [確定 ] 以接受 [ 進階安全性設定 ] 對話框中的變更,然後返回 [ 屬性 ] 對話框。
注意事項
不同於 Active Directory 網域根目錄,用戶物件的必要許可權通常繼承自網域根目錄,或繼承自父容器或組織單位。 直接在對象上設定的許可權將表示繼承自 None。 只要 [類型]、[主體]、[存取] 和 [套用至許可權] 數據行中的值相同, (ACE) 的訪問控制專案繼承就不重要。 不過,特定許可權只能在網域根目錄中設定。 這些實體會列在子區段數據表中。
AD DS 連接器帳戶的用戶默認許可權 (允許)
| 權限 | 從 繼承而來。 | 套用到 |
|---|---|---|
| 重設密碼 | <網域根目錄> | 子系用戶物件 |
| (空白) | <網域根目錄> | 子系 msDS-Device 物件 |
| 讀取所有屬性 | <網域根目錄> | Descendant publicFolder 物件 |
| 讀取/寫入所有屬性 | <網域根目錄> | Descendant InetOrgPerson 物件 |
| 讀取/寫入所有屬性 | <網域根目錄> | 子系群組物件 |
| 讀取/寫入所有屬性 | <網域根目錄> | 子系用戶物件 |
| 讀取/寫入所有屬性 | <網域根目錄> | 子系 Contact 物件 |
已驗證使用者的用戶預設許可權 (允許)
| 權限 | 從 繼承而來。 | 套用到 |
|---|---|---|
| 讀取一般資訊 | 無 | 僅限此物件 |
| 讀取公用資訊 | 無 | 僅限此物件 |
| 讀取個人資訊 | 無 | 僅限此物件 |
| 讀取 Web 資訊 | 無 | 僅限此物件 |
| 讀取權限 | 無 | 僅限此物件 |
| 讀取 Exchange 資訊 | <網域根目錄> | 這個物件和所有子系物件 |
[所有人] ([允許) 的用戶默認許可權
| 權限 | 從 繼承而來。 | 套用到 |
|---|---|---|
| 變更密碼 | 無 | 僅限此物件 |
Windows 2000 之前相容存取的用戶默認許可權 (允許)
此表格中 的特殊 許可權包括 [列表內容]、[ 讀取所有屬性] 和 [ 讀取許可權] 許可權。
| 權限 | 從 繼承而來。 | 套用到 |
|---|---|---|
| 特殊 | <網域根目錄> | Descendant InetOrgPerson 物件 |
| 特殊 | <網域根目錄> | 子系群組物件 |
| 特殊 | <網域根目錄> | 子系用戶物件 |
| 清單內容 | <網域根目錄> | 這個物件和所有子系物件 |
SELF (Allow) 的用戶默認許可權
此表格中 的特殊 許可權僅包含 讀取/寫入私人信息權 限。
| 權限 | 從 繼承而來。 | 套用到 |
|---|---|---|
| 變更密碼 | 無 | 僅限此物件 |
| 傳送為 | 無 | 僅限此物件 |
| 接收為 | 無 | 僅限此物件 |
| 讀取/寫入個人資訊 | 無 | 僅限此物件 |
| 讀取/寫入電話和郵件選項 | 無 | 僅限此物件 |
| 讀取/寫入 Web 資訊 | 無 | 僅限此物件 |
| 特殊 | 無 | 僅限此物件 |
| 已驗證的電腦屬性寫入 | <網域根目錄> | 子系計算機物件 |
| (空白) | <網域根目錄> | 子系計算機物件 |
| (空白) | <網域根目錄> | 這個物件和所有子系物件 |
| 特殊 | <網域根目錄> | 這個物件和所有子系物件 |
SAM 伺服器物件的必要許可權
本節說明安全性帳戶管理員 (SAM) 伺服器物件 (CN=Server,CN=System,DC=Contoso,DC=com) 上密碼回寫的預期 Active Directory 許可權。 若要尋找 samServer) (SAM 伺服器物件的安全性屬性,請遵循下列步驟:
返回 Active Directory 使用者和電腦 嵌入式管理單元。
在主控台樹中,找出並選取 [系統 ] 容器。
找出並選取 [伺服器 (samServer 物件) ],然後選取 [ 屬性] 圖示。
在物件的 [ 屬性 ] 對話框中,選取 [ 安全性] 索引 卷標。
選取 [ 進階安全性設定] 對話框。 [ 許可權] 索引標籤會顯示每個 Active Directory 身分識別 (主體) 的目前 samServer 物件許可權清單。
確認 samServer 物件的訪問控制專案中至少列出下列其中一個主體。 如果只列出 [Windows 2000 之前相容存取] ,請確定 [已驗證的使用者 ] 是此內建群組的成員。
Windows 2000 之前相容存取的許可權 (允許)
特殊 許可權必須包含 [列表內容]、[ 讀取所有屬性] 和 [ 讀取] 許可權 許可權。
已驗證用戶的許可權 (允許)
特殊 許可權必須包含 [列表內容]、[ 讀取所有屬性] 和 [ 讀取] 許可權 許可權。
內建容器的必要許可權
本節說明內建容器上密碼回寫的預期 Active Directory 許可權。 若要檢視現有的安全性許可權,請遵循下列步驟來取得內建物件的安全性屬性:
開啟至 Active Directory 使用者和電腦 嵌入式管理單元。
在主控台樹中,找出並選取 [內建 ] 容器,然後選取 [ 屬性] 圖示。
在帳戶的 [ 屬性 ] 對話框中,選取 [安全性] 索引 卷標。
選取 [ 進階 ] 按鈕以檢視 [ 進階安全性設定 ] 對話框。 [ 許可權] 索引 標籤會顯示每個 Active Directory 身分識別 (主體) 的目前內建容器許可權清單。
將此目前的許可權清單與MSOL_帳戶的必要允許權 限 清單進行比較,如下所示。
權限 從 繼承而來。 套用到 讀取/寫入所有屬性 <網域根目錄> Descendant InetOrgPerson 物件 讀取/寫入所有屬性 <網域根目錄> 子系群組物件 讀取/寫入所有屬性 <網域根目錄> 子系用戶物件 讀取/寫入所有屬性 <網域根目錄> 子系 Contact 物件 如有必要,請選取 [新增 ] 以新增目前清單中缺少的必要許可權專案。 或者,選取許可權項目,然後選取 [ 編輯 ] 以修改該專案以符合需求。 重複此步驟,直到目前的許可權專案符合子區段數據表為止。
選取 [確定] 結束 [ 進階安全性設定 ] 對話框,然後返回 [ 屬性 ] 對話框。
其他必要的 Active Directory 許可權
在 [Windows 2000 兼容存取 ] 群組屬性中,移至 [ 成員 ] 索引標籤,並確定 [已驗證的使用者 ] 是此群組的成員。 否則,您可能會遇到會影響 Microsoft Entra Connect 和 Active Directory 上密碼回寫的問題 (特別是在舊版) 。
必要的網域組策略
若要確定您有正確的網域組策略,請遵循下列步驟:
選 取 [開始],輸入 secpol.msc,然後在搜尋結果中選取 [ 本機安全 策略]。
在主控台樹的 [ 安全性設定] 下方,展開 [ 本機原則],然後選取 [ 用戶權力指派]。
在原則清單中,選取 [ 驗證后模擬客戶端],然後選取 [ 屬性] 圖示。
在 [ 屬性] 對話框中,確定下列群組列在 [ 本機安全性設定] 索引 標籤上:
- 系統管理員
- 本機服務
- NETWORK SERVICE
- SERVICE (服務)
如需詳細資訊,請參閱驗證后模擬客戶端原則的預設值。
與我們連絡,以取得說明
如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以將產品意見反應提交給 Azure 意應見反社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應