Behandeln von Problemen mit Kennwortrückschreibezugriffsrechten und -berechtigungen
In diesem Artikel werden die Zugriffsrechte und Berechtigungen beschrieben, die im Domänenstamm, im Benutzerobjekt und im integrierten Container in Active Directory erforderlich sind. Außerdem werden die folgenden Elemente erläutert:
- Erforderliche Domänengruppenrichtlinien
- Identifizieren des Active Directory Domain Services (AD DS)-Connectorkontos, das von Microsoft Azure AD Connect verwendet wird
- Überprüfen vorhandener Berechtigungen für dieses Konto
- So vermeiden Sie Replikationsprobleme
Diese Informationen können Sie bei der Behandlung bestimmter Probleme unterstützen, die das Kennwortrückschreiben betreffen.
Identifizieren des AD DS Connector-Kontos
Überprüfen Sie vor der Überprüfung auf Kennwortrückschreibungsberechtigungen das aktuelle AD DS Connector-Konto (auch als MSOL_ -Konto bezeichnet) in Azure AD Connect. Die Überprüfung dieses Kontos hilft Ihnen, während der Problembehandlung beim Kennwortrückschreiben die falschen Schritte zu vermeiden.
So identifizieren Sie das AD DS Connector-Konto:
Öffnen Sie den Synchronization Service Manager. Wählen Sie dazu "Start" aus, geben Sie Azure Ad Connect ein, wählen Sie Azure AD Connect in den Suchergebnissen aus, und wählen Sie dann " Synchronisierungsdienst" aus.
Wählen Sie die Registerkarte "Connectors " und dann den entsprechenden Active Directory-Connector aus. Wählen Sie im Bereich "Aktionen " die Option "Eigenschaften " aus, um das Dialogfeld "Eigenschaften " zu öffnen.
Wählen Sie im linken Bereich des Eigenschaftenfensters die Option "Mit Active Directory-Gesamtstruktur verbinden" aus, und kopieren Sie dann den Kontonamen, der als Benutzername angezeigt wird.
Überprüfen vorhandener Berechtigungen des AD DS Connector-Kontos
Verwenden Sie das integrierte ADSyncConfig PowerShell-Modul, um die richtigen Active Directory-Berechtigungen für das Kennwortrückschreiben festzulegen. Das ADSyncConfig-Modul enthält eine Methode zum Festlegen von Berechtigungen für das Kennwortrückschreiben mithilfe des Cmdlets Set-ADSyncPasswordWritebackPermissions .
Verwenden Sie eines der folgenden Tools, um zu überprüfen, ob das AD DS Connector-Konto (das MSOL_ Konto) über die richtigen Berechtigungen für einen bestimmten Benutzer verfügt:
- Snap-In für Active Directory-Benutzer und -Computer auf der Microsoft Management Console (MMC)
- Eingabeaufforderung
- PowerShell
Snap-In für Active Directory-Benutzer und -Computer
Verwenden Sie das MMC-Snap-In für Active Directory-Benutzer und -Computer. Führen Sie die folgenden Schritte aus:
Wählen Sie "Start" aus, geben Sie "dsa.msc" ein, und wählen Sie dann das Snap-In "Active Directory-Benutzer und -Computer" in den Suchergebnissen aus.
Wählen Sie "Erweiterte Features anzeigen" > aus.
Suchen Sie in der Konsolenstruktur das Benutzerkonto, auf das Sie die Berechtigungen überprüfen möchten, und wählen Sie es aus. Wählen Sie dann das Symbol "Eigenschaften " aus.
Wählen Sie im Dialogfeld "Eigenschaften " für das Konto die Registerkarte " Sicherheit " und dann die Schaltfläche " Erweitert " aus.
Wählen Sie im Dialogfeld " Erweiterte Sicherheitseinstellungen" für das Konto die Registerkarte " Effektive Berechtigungen " aus. Wählen Sie dann im Abschnitt "Gruppe" oder "Benutzername " die Schaltfläche " Auswählen" aus .
Wählen Sie im Dialogfeld "Benutzer, Computer oder Gruppe auswählen" die Option "Jetzt erweitert > suchen" aus, um die Auswahlliste anzuzeigen. Wählen Sie im Feld "Suchergebnisse " den MSOL_ Kontonamen aus.
Wählen Sie zweimal "OK" aus, um im Dialogfeld "Erweiterte Sicherheitseinstellungen" zur Registerkarte "Effektive Berechtigungen" zurückzukehren. Jetzt können Sie die Liste der effektiven Berechtigungen für das MSOL_ Konto anzeigen, das dem Benutzerkonto zugewiesen ist. Die Liste der Standardberechtigungen, die für das Kennwortrückschreiben erforderlich sind, wird im Abschnitt "Erforderliche Berechtigungen" für das Benutzerobjekt in diesem Artikel angezeigt.
Eingabeaufforderung
Verwenden Sie den dsacls-Befehl , um die Zugriffssteuerungslisten (ACLs oder Berechtigungen) des AD DS Connector-Kontos anzuzeigen. Der folgende Befehl speichert die Befehlsausgabe in einer Textdatei, sie kann jedoch geändert werden, um die Ausgabe in der Konsole anzuzeigen:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Sie können diese Methode verwenden, um die Berechtigungen für jedes Active Directory-Objekt zu analysieren. Es ist jedoch nicht hilfreich, Berechtigungen zwischen Objekten zu vergleichen, da die Textausgabe nicht sortiert ist.
PowerShell
Verwenden Sie das Cmdlet "Get-Acl ", um die Ad DS Connector-Kontoberechtigungen abzurufen, und speichern Sie die Ausgabe dann wie folgt als XML-Datei mithilfe des Cmdlets "Export-Clixml ":
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
Die PowerShell-Methode ist für die Offlineanalyse nützlich. Sie können die Datei mithilfe des Cmdlets "Import-Clixml " importieren. Sie behält auch die ursprüngliche Struktur der ACL und deren Eigenschaften bei. Sie können diese Methode verwenden, um die Berechtigungen für jedes Active Directory-Objekt zu analysieren.
Vermeiden von Replikationsproblemen beim Beheben von Berechtigungen
Wenn Sie Active Directory-Berechtigungen korrigieren, werden die Änderungen an Active Directory möglicherweise nicht sofort wirksam. Active Directory-Berechtigungen unterliegen auch Replikationen in der gesamtstruktur auf die gleiche Weise wie Active Directory-Objekte. Wie können Sie die Probleme oder Verzögerungen bei der Active Directory-Replikation verringern? Sie legen einen bevorzugten Domänencontroller in Azure AD Connect fest und arbeiten nur an diesem Domänencontroller für alle Änderungen. Wenn Sie das Snap-In "Active Directory-Benutzer und -Computer" verwenden, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Domänenstamm, wählen Sie das Menüelement "Domänencontroller ändern " aus, und wählen Sie dann denselben bevorzugten Domänencontroller aus.
Führen Sie die Domänencontrollerdiagnose mithilfe des Dcdiag-Befehls aus, um eine schnelle Überprüfung der Richtigkeit in Active Directory zu erhalten. Führen Sie dann den Befehl "repadmin /replsummary " aus, um eine Zusammenfassung der Replikationsprobleme anzuzeigen. Die folgenden Befehle speichern die Befehlsausgabe in Textdateien, sie können jedoch so geändert werden, dass die Ausgabe in der Konsole angezeigt wird:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Erforderliche Berechtigungen für den Active Directory-Domänenstamm
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben im Active Directory-Domänenstamm beschrieben. Verwechseln Sie diesen Stamm nicht mit dem Stamm der Active Directory-Gesamtstruktur. Eine Gesamtstruktur kann mehrere Active Directory-Domänen aufweisen. Für jede Domäne müssen die richtigen Berechtigungen in ihrem eigenen Stamm festgelegt sein, damit das Kennwortrückschreiben für Benutzer in dieser Domäne funktionieren kann.
Sie können die vorhandenen Active Directory-Berechtigungen in den Sicherheitseigenschaften des Domänenstamms anzeigen. Führen Sie die folgenden Schritte aus:
Öffnen Sie das Snap-In "Active Directory-Benutzer und -Computer".
Suchen Und wählen Sie in der Konsolenstruktur den Active Directory-Domänenstamm aus, und wählen Sie dann das Symbol "Eigenschaften " aus.
Wählen Sie im Dialogfeld "Eigenschaften " für das Konto die Registerkarte " Sicherheit " aus.
Jeder der folgenden Unterabschnitte enthält eine Tabelle mit Domänenstammstandardberechtigungen. Diese Tabelle enthält die erforderlichen Berechtigungseinträge für die Gruppe oder den Benutzernamen im Unterabschnittstitel. Führen Sie die folgenden Schritte für jeden Unterabschnitt aus, um die aktuellen Berechtigungseinträge anzuzeigen und zu ändern, die den Anforderungen für jede Gruppe oder jeden Benutzernamen entsprechen:
Wählen Sie auf der Registerkarte " Sicherheit " die Schaltfläche " Erweitert " aus, um das Dialogfeld " Erweiterte Sicherheitseinstellungen" anzuzeigen. Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der Domänenstammberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Vergleichen Sie die aktuelle Berechtigungsliste mit der Liste der Standardberechtigungen für jede Active Directory-Identität (Prinzipal).
Wählen Sie bei Bedarf "Hinzufügen" aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag und dann "Bearbeiten " aus, um diesen Eintrag zu ändern, um die Anforderung zu erfüllen. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie "OK " aus, um die Änderungen im Dialogfeld "Erweiterte Sicherheitseinstellungen" zu übernehmen und zum Dialogfeld "Eigenschaften " zurückzukehren.
Hinweis
Die Berechtigungen für den Active Directory-Domänenstamm werden nicht von einem übergeordneten Container geerbt.
Stammstandardberechtigungen für das AD DS Connector-Konto (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| Kennwort zurücksetzen | Untergeordnete User-Objekte |
| (leer) | Untergeordnete msDS-Device-Objekte |
| Replizieren von Verzeichnisänderungen | Nur dieses Objekt |
| Das Replizieren des Verzeichnisses ändert alle | Nur dieses Objekt |
| Alle Eigenschaften lesen | Untergeordnete publicFolder-Objekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | Untergeordnete InetOrgPerson-Objekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | Untergeordnete Gruppenobjekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | Untergeordnete User-Objekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | Untergeordnete Contact-Objekte |
Stammstandardberechtigungen für authentifizierte Benutzer (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| Aktivieren eines reversibel verschlüsselten Kennworts pro Benutzer | Nur dieses Objekt |
| Entschlüsseln des Kennworts | Nur dieses Objekt |
| Updatekennwort nicht erforderlich Bit | Nur dieses Objekt |
| Besondere Mitarbeiter | Nur dieses Objekt |
| (leer) | Dieses Objekt und alle untergeordneten Objekte |
Stammstandardberechtigungen für "Jeder" (Verweigern + Zulassen)
| Typ | Berechtigung | Übernehmen für |
|---|---|---|
| Verweigern | Löschen aller untergeordneten Objekte | Nur dieses Objekt |
| Zulassen | Alle Eigenschaften lesen | Nur dieses Objekt |
Stammstandardberechtigungen für den kompatiblen Zugriff vor Windows 2000 (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| Besondere Mitarbeiter | Untergeordnete InetOrgPerson-Objekte |
| Besondere Mitarbeiter | Untergeordnete Gruppenobjekte |
| Besondere Mitarbeiter | Untergeordnete User-Objekte |
| Besondere Mitarbeiter | Nur dieses Objekt |
| Inhalt auflisten | Dieses Objekt und alle untergeordneten Objekte |
Stammstandardberechtigungen für SELF (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| (leer) | Dieses Objekt und alle untergeordneten Objekte |
| Besondere Mitarbeiter | Alle untergeordneten Objekte |
| Überprüfter Schreibzugriff auf Computerattribute | Untergeordnete Computer-Objekte |
| (leer) | Untergeordnete Computer-Objekte |
Erforderliche Berechtigungen für das Benutzerobjekt
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben für das Zielbenutzerobjekt beschrieben, das das Kennwort aktualisieren muss. Führen Sie die folgenden Schritte aus, um die Sicherheitseigenschaften des Benutzerobjekts anzuzeigen, um die vorhandenen Sicherheitsberechtigungen anzuzeigen:
Kehren Sie zum Snap-In "Active Directory-Benutzer und -Computer" zurück.
Verwenden Sie die Konsolenstruktur oder das Menüelement **"**Aktionssuche > ", um das Zielbenutzerobjekt auszuwählen, und wählen Sie dann das Eigenschaftensymbol aus.
Wählen Sie im Dialogfeld "Eigenschaften " für das Konto die Registerkarte " Sicherheit " aus.
Jeder der folgenden Unterabschnitte enthält eine Tabelle mit Benutzerstandardberechtigungen. Diese Tabelle enthält die erforderlichen Berechtigungseinträge für die Gruppe oder den Benutzernamen im Unterabschnittstitel. Führen Sie die folgenden Schritte für jeden Unterabschnitt aus, um die aktuellen Berechtigungseinträge anzuzeigen und zu ändern, die den Anforderungen für jede Gruppe oder jeden Benutzernamen entsprechen:
Wählen Sie auf der Registerkarte " Sicherheit " die Schaltfläche " Erweitert " aus, um das Dialogfeld " Erweiterte Sicherheitseinstellungen" anzuzeigen.
Stellen Sie sicher, dass die Schaltfläche " Vererbung deaktivieren " unten im Dialogfeld angezeigt wird. Wenn stattdessen die Schaltfläche " Vererbung aktivieren " angezeigt wird, wählen Sie diese Schaltfläche aus. Mit dem Feature "Vererbung aktivieren" können alle Berechtigungen von übergeordneten Containern und Organisationseinheiten von diesem Objekt geerbt werden. Diese Änderung behebt das Problem.
Vergleichen Sie auf der Registerkarte "Berechtigungen " die aktuelle Berechtigungsliste mit der Liste der Standardberechtigungen für jede Active Directory-Identität (Prinzipal). Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der Benutzerberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Wählen Sie bei Bedarf "Hinzufügen" aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag und dann "Bearbeiten " aus, um diesen Eintrag zu ändern, um die Anforderung zu erfüllen. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie "OK " aus, um die Änderungen im Dialogfeld "Erweiterte Sicherheitseinstellungen" zu übernehmen und zum Dialogfeld "Eigenschaften " zurückzukehren.
Hinweis
Im Gegensatz zum Active Directory-Domänenstamm werden die erforderlichen Berechtigungen für das Benutzerobjekt in der Regel vom Domänenstamm oder von einem übergeordneten Container oder einer Organisationseinheit geerbt. Berechtigungen, die direkt für das Objekt festgelegt wurden, weisen auf eine Vererbung von None hin. Die Vererbung des Zugriffssteuerungseintrags (Access Control Entry, ACE) ist nicht wichtig, solange die Werte in den Spalten "Type", "Principal", " Access" und "Applies" für die Berechtigung identisch sind. Bestimmte Berechtigungen können jedoch nur im Domänenstamm festgelegt werden. Diese Entitäten werden in den Unterabschnittstabellen aufgeführt.
Benutzerstandardberechtigungen für das AD DS Connector-Konto (Zulassen)
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Kennwort zurücksetzen | <domain root> | Untergeordnete User-Objekte |
| (leer) | <domain root> | Untergeordnete msDS-Device-Objekte |
| Alle Eigenschaften lesen | <domain root> | Untergeordnete publicFolder-Objekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | <domain root> | Untergeordnete InetOrgPerson-Objekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | <domain root> | Untergeordnete Gruppenobjekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | <domain root> | Untergeordnete User-Objekte |
| Lese-/Schreibzugriff auf alle Eigenschaften | <domain root> | Untergeordnete Contact-Objekte |
Benutzerstandardberechtigungen für authentifizierte Benutzer (Zulassen)
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Allgemeine Informationen lesen | Keine | Nur dieses Objekt |
| Öffentliche Informationen lesen | Keine | Nur dieses Objekt |
| Lesen von persönlichen Informationen | Keine | Nur dieses Objekt |
| Webinformationen lesen | Keine | Nur dieses Objekt |
| Leseberechtigungen | Keine | Nur dieses Objekt |
| Exchange-Informationen lesen | <domain root> | Dieses Objekt und alle untergeordneten Objekte |
Benutzerstandardberechtigungen für "Jeder" (Zulassen)
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Kennwort ändern | Keine | Nur dieses Objekt |
Benutzerstandardberechtigungen für den kompatiblen Zugriff vor Windows 2000 (Zulassen)
Die Sonderberechtigungen in dieser Tabelle umfassen Listeninhalte, Alle Eigenschaften lesen und Leseberechtigungen .
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Besondere Mitarbeiter | <domain root> | Untergeordnete InetOrgPerson-Objekte |
| Besondere Mitarbeiter | <domain root> | Untergeordnete Gruppenobjekte |
| Besondere Mitarbeiter | <domain root> | Untergeordnete User-Objekte |
| Inhalt auflisten | <domain root> | Dieses Objekt und alle untergeordneten Objekte |
Benutzerstandardberechtigungen für SELF (Zulassen)
Die Sonderberechtigungen in dieser Tabelle umfassen nur private Informationsrechte mit Lese-/Schreibzugriff .
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Kennwort ändern | Keine | Nur dieses Objekt |
| Senden als | Keine | Nur dieses Objekt |
| Empfangen als | Keine | Nur dieses Objekt |
| Lese-/Schreibzugriff auf persönliche Informationen | Keine | Nur dieses Objekt |
| Lese-/Schreibzugriff auf Telefon- und E-Mail-Optionen | Keine | Nur dieses Objekt |
| Lese-/Schreibzugriff auf Webinformationen | Keine | Nur dieses Objekt |
| Besondere Mitarbeiter | Keine | Nur dieses Objekt |
| Überprüfter Schreibzugriff auf Computerattribute | <domain root> | Untergeordnete Computer-Objekte |
| (leer) | <domain root> | Untergeordnete Computer-Objekte |
| (leer) | <domain root> | Dieses Objekt und alle untergeordneten Objekte |
| Besondere Mitarbeiter | <domain root> | Dieses Objekt und alle untergeordneten Objekte |
Erforderliche Berechtigungen für das SAM-Serverobjekt
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben für das Security Account Manager (SAM)-Serverobjekt (CN=Server,CN=System,DC=Contoso,DC=com) beschrieben. Führen Sie die folgenden Schritte aus, um die Sicherheitseigenschaften des SAM-Serverobjekts (samServer) zu finden:
Kehren Sie zum Snap-In "Active Directory-Benutzer und -Computer" zurück.
Suchen Und wählen Sie in der Konsolenstruktur den Systemcontainer aus.
Suchen Sie den Server (das samServer-Objekt), und wählen Sie dann das Eigenschaftensymbol aus.
Wählen Sie im Dialogfeld "Eigenschaften " für das Objekt die Registerkarte " Sicherheit " aus.
Wählen Sie das Dialogfeld "Erweiterte Sicherheitseinstellungen " aus. Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der samServer-Objektberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Stellen Sie sicher, dass mindestens einer der folgenden Prinzipale im Zugriffssteuerungseintrag für das samServer-Objekt aufgeführt ist. Wenn nur der vor Windows 2000 kompatible Zugriff aufgeführt ist, stellen Sie sicher, dass authentifizierte Benutzer Mitglied dieser integrierten Gruppe sind.
Berechtigungen für den vor Windows 2000 kompatiblen Zugriff (zulassen)
Spezielle Berechtigungen müssen die Listeninhalte, alle Eigenschaften lesen und Leseberechtigungen enthalten.
Berechtigungen für authentifizierte Benutzer (Zulassen)
Spezielle Berechtigungen müssen die Listeninhalte, alle Eigenschaften lesen und Leseberechtigungen enthalten.
Erforderliche Berechtigungen für den integrierten Container
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben im integrierten Container beschrieben. Um die vorhandenen Sicherheitsberechtigungen anzuzeigen, führen Sie die folgenden Schritte aus, um zu den Sicherheitseigenschaften des integrierten Objekts zu gelangen:
Öffnen Sie das Snap-In "Active Directory-Benutzer und -Computer".
Suchen Sie in der Konsolenstruktur den integrierten Container, und wählen Sie den Container aus, und wählen Sie dann das Symbol "Eigenschaften " aus.
Wählen Sie im Dialogfeld "Eigenschaften " für das Konto die Registerkarte " Sicherheit " aus.
Wählen Sie die Schaltfläche " Erweitert " aus, um das Dialogfeld "Erweiterte Sicherheitseinstellungen" anzuzeigen. Auf der Registerkarte "Berechtigungen " wird die aktuelle Liste der integrierten Containerberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Vergleichen Sie diese aktuelle Berechtigungsliste wie folgt mit der Liste der erforderlichen Zulassungsberechtigungen für das MSOL_ Konto.
Berechtigung Geerbt von Übernehmen für Lese-/Schreibzugriff auf alle Eigenschaften <domain root> Untergeordnete InetOrgPerson-Objekte Lese-/Schreibzugriff auf alle Eigenschaften <domain root> Untergeordnete Gruppenobjekte Lese-/Schreibzugriff auf alle Eigenschaften <domain root> Untergeordnete User-Objekte Lese-/Schreibzugriff auf alle Eigenschaften <domain root> Untergeordnete Contact-Objekte Wählen Sie bei Bedarf "Hinzufügen" aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag und dann "Bearbeiten " aus, um diesen Eintrag zu ändern, um die Anforderung zu erfüllen. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie "OK " aus, um das Dialogfeld "Erweiterte Sicherheitseinstellungen" zu beenden und zum Dialogfeld "Eigenschaften " zurückzukehren.
Weitere erforderliche Active Directory-Berechtigungen
Wechseln Sie in den Gruppeneigenschaften " Vor Windows 2000 kompatibler Zugriff " zur Registerkarte " Mitglieder ", und stellen Sie sicher, dass authentifizierte Benutzer Mitglied dieser Gruppe sind. Andernfalls können Probleme auftreten, die sich auf die Kennwortrückschreibung in Azure AD Connect und Active Directory auswirken (insbesondere in älteren Versionen).
Erforderliche Domänengruppenrichtlinien
Führen Sie die folgenden Schritte aus, um sicherzustellen, dass Sie über die richtigen Domänengruppenrichtlinien verfügen:
Wählen Sie "Start" aus, geben Sie "secpol.msc" ein, und wählen Sie dann " Lokale Sicherheitsrichtlinie" in den Suchergebnissen aus.
Erweitern Sie in der Konsolenstruktur unter "Sicherheitseinstellungen**" die Option "Lokale Richtlinien**", und wählen Sie dann "Zuweisung von Benutzerrechten" aus.
Wählen Sie in der Liste der Richtlinien den Identitätswechsel eines Clients nach der Authentifizierung aus, und wählen Sie dann das Eigenschaftensymbol aus.
Stellen Sie im Dialogfeld "Eigenschaften " sicher, dass die folgenden Gruppen auf der Registerkarte " Lokale Sicherheitseinstellungen" aufgeführt sind:
- Administratoren
- LOCAL SERVICE
- NETZWERKDIENST
- SERVICE
Weitere Informationen finden Sie in den Standardwerten für den Identitätswechsel eines Clients nach der Authentifizierungsrichtlinie.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support.