Problembehandlung bei Zugriffsrechten und Berechtigungen für das Kennwortrückschreiben
In diesem Artikel werden die Zugriffsrechte und Berechtigungen beschrieben, die für den Domänenstamm, das Benutzerobjekt und den integrierten Container in Active Directory erforderlich sind. Außerdem werden die folgenden Punkte erläutert:
- Erforderliche Domänengruppenrichtlinien
- Identifizieren des Active Directory Domain Services(AD DS)-Connectorkontos, das Microsoft Entra Connect verwendet
- Überprüfen vorhandener Berechtigungen für dieses Konto
- Vermeiden von Replikationsproblemen
Diese Informationen können Ihnen helfen, bestimmte Probleme zu beheben, die das Kennwortrückschreiben betreffen.
Identifizieren des AD DS-Connectorkontos
Bevor Sie nach Kennwortrückschreiben-Berechtigungen suchen, überprüfen Sie das aktuelle AD DS Connector-Konto (auch als MSOL_-Konto bezeichnet) in Microsoft Entra Connect. Die Überprüfung dieses Kontos hilft Ihnen, die falschen Schritte bei der Problembehandlung für das Kennwortrückschreiben zu vermeiden.
So identifizieren Sie das AD DS Connector-Konto:
Öffnen Sie den Synchronization Service Manager. Wählen Sie hierzu Start aus, geben Sie Microsoft Entra Verbinden ein, wählen Sie in den Suchergebnissen Microsoft Entra Verbinden und dann Synchronisierungsdienst aus.
Wählen Sie die Registerkarte Connectors und dann den entsprechenden Active Directory-Connector aus. Wählen Sie im Bereich Aktionendie Option Eigenschaften aus, um das Dialogfeld Eigenschaften zu öffnen.
Wählen Sie im linken Bereich des Fensters Eigenschaften die Option Mit Active Directory-Gesamtstruktur verbinden aus, und kopieren Sie dann den Kontonamen, der als Benutzername angezeigt wird.
Überprüfen vorhandener Berechtigungen des AD DS-Connectorkontos
Verwenden Sie das integrierte POWERShell-Modul ADSyncConfig, um die richtigen Active Directory-Berechtigungen für das Kennwortrückschreiben festzulegen. Das ADSyncConfig-Modul enthält eine Methode zum Festlegen von Berechtigungen für das Kennwortrückschreiben mithilfe des Cmdlets Set-ADSyncPasswordWritebackPermissions .
Verwenden Sie eines der folgenden Tools, um zu überprüfen, ob das AD DS-Connectorkonto (d. b. das konto MSOL_ ) über die richtigen Berechtigungen für einen bestimmten Benutzer verfügt:
- Active Directory-Benutzer und -Computer-Snap-Ins in der Microsoft Management Console (MMC)
- Eingabeaufforderung
- PowerShell
Snap-In für Active Directory-Benutzer und -Computer
Verwenden Sie das MMC-Snap-In für Active Directory-Benutzer und -Computer. Gehen Sie folgendermaßen vor:
Wählen Sie Start aus, geben Sie dsa.msc ein, und wählen Sie dann das Active Directory-Benutzer und -Computer-Snap-In in den Suchergebnissen aus.
Wählen SieErweiterte Featuresanzeigen> aus.
Suchen Sie in der Konsolenstruktur das Benutzerkonto, für das Sie die Berechtigungen überprüfen möchten, und wählen Sie es aus. Wählen Sie dann das Symbol Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte Sicherheit und dann die Schaltfläche Erweitert aus.
Wählen Sie im Dialogfeld Erweiterte Sicherheitseinstellungen für das Konto die Registerkarte Effektive Berechtigungen aus. Wählen Sie dann im Abschnitt Gruppen- oder Benutzername die Schaltfläche Auswählen aus.
Wählen Sie im Dialogfeld Benutzer, Computer oder Gruppe auswählendie Option Erweitert>Jetzt suchen aus, um die Auswahlliste anzuzeigen. Wählen Sie im Feld Search Ergebnisse den kontonamen MSOL_ aus.
Wählen Sie zweimal OK aus, um zur Registerkarte Effektive Berechtigungen im Dialogfeld Erweiterte Sicherheitseinstellungen zurückzukehren. Jetzt können Sie die Liste der effektiven Berechtigungen für das MSOL_ Konto anzeigen, die dem Benutzerkonto zugewiesen sind. Die Liste der Standardberechtigungen, die für das Kennwortrückschreiben erforderlich sind, finden Sie im Abschnitt Erforderliche Berechtigungen für das Benutzerobjekt in diesem Artikel.
Eingabeaufforderung
Verwenden Sie den Befehl dsacls , um die Zugriffssteuerungslisten (ACLs oder Berechtigungen) des AD DS-Connectorkontos anzuzeigen. Der folgende Befehl speichert die Befehlsausgabe in einer Textdatei, sie kann jedoch so geändert werden, dass die Ausgabe in der Konsole angezeigt wird:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Sie können diese Methode verwenden, um die Berechtigungen für jedes Active Directory-Objekt zu analysieren. Es ist jedoch nicht sinnvoll, Berechtigungen zwischen Objekten zu vergleichen, da die Textausgabe nicht sortiert ist.
PowerShell
Verwenden Sie das Cmdlet Get-Acl , um die Kontoberechtigungen für den AD DS-Connector abzurufen, und speichern Sie die Ausgabe dann wie folgt mit dem Cmdlet Export-Clixml als XML-Datei :
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
Die PowerShell-Methode ist für die Offlineanalyse nützlich. Sie können die Datei mithilfe des Cmdlets Import-Clixml importieren. Es behält auch die ursprüngliche Struktur der ACL und ihre Eigenschaften bei. Sie können diese Methode verwenden, um die Berechtigungen für jedes Active Directory-Objekt zu analysieren.
Vermeiden von Replikationsproblemen beim Beheben von Berechtigungen
Wenn Sie Active Directory-Berechtigungen korrigieren, werden die Änderungen an Active Directory möglicherweise nicht sofort wirksam. Active Directory-Berechtigungen unterliegen auch Replikationen in der Gesamtstruktur auf die gleiche Weise wie Active Directory-Objekte. Wie können Sie probleme oder Verzögerungen bei der Active Directory-Replikation beheben? Sie legen einen bevorzugten Domänencontroller in Microsoft Entra Connect fest und arbeiten nur an diesem Domänencontroller, um Änderungen vorzunehmen. Wenn Sie das Active Directory-Benutzer und -Computer-Snap-In verwenden, klicken Sie mit der rechten Maustaste auf den Domänenstamm in der Konsolenstruktur, wählen Sie das Menüelement Domänencontroller ändern aus, und wählen Sie dann denselben bevorzugten Domänencontroller aus.
Führen Sie für eine schnelle Integritätsprüfung in Active Directory den Domänencontroller Diagnose mithilfe des Befehls dcdiag aus. Führen Sie dann den Befehl repadmin /replsummary aus, um eine Zusammenfassung der Replikationsprobleme anzuzeigen. Die folgenden Befehle speichern die Befehlsausgabe in Textdateien, sie können jedoch so geändert werden, dass die Ausgabe in der Konsole angezeigt wird:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Erforderliche Berechtigungen für den Active Directory-Domänenstamm
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben im Active Directory-Domänenstamm beschrieben. Verwechseln Sie diesen Stamm nicht mit dem Stamm der Active Directory-Gesamtstruktur. Eine Gesamtstruktur kann über mehrere Active Directory-Domänen verfügen. Jede Domäne muss über die richtigen Berechtigungen verfügen, die in ihrem eigenen Stamm festgelegt sind, damit das Kennwortrückschreiben für Benutzer in dieser Domäne funktionieren kann.
Sie können die vorhandenen Active Directory-Berechtigungen in den Sicherheitseigenschaften des Domänenstamms anzeigen. Gehen Sie folgendermaßen vor:
Öffnen Sie das Active Directory-Benutzer und -Computer-Snap-In.
Suchen Sie in der Konsolenstruktur den Stamm der Active Directory-Domäne, wählen Sie ihn aus, und wählen Sie dann das Symbol Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte Sicherheit aus.
Jeder der folgenden Unterabschnitte enthält eine Tabelle der Standardberechtigungen des Domänenstamms. In dieser Tabelle sind die erforderlichen Berechtigungseinträge für den Gruppen- oder Benutzernamen im Unterabschnittstitel aufgeführt. Führen Sie die folgenden Schritte für jeden Unterabschnitt aus, um die aktuellen Berechtigungseinträge anzuzeigen und so zu ändern, dass sie den Anforderungen für jeden Gruppen- oder Benutzernamen entsprechen:
Wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert aus, um das Dialogfeld Erweiterte Sicherheitseinstellungen anzuzeigen. Auf der Registerkarte Berechtigungen wird die aktuelle Liste der Domänenstammberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Vergleichen Sie die aktuelle Berechtigungsliste mit der Liste der Standardberechtigungen für jede Active Directory-Identität (Prinzipal).
Wählen Sie bei Bedarf Hinzufügen aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag aus, und wählen Sie dann Bearbeiten aus, um diesen Eintrag an die Anforderung zu ändern. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie OK aus, um die Änderungen im Dialogfeld Erweiterte Sicherheitseinstellungen zu übernehmen und zum Dialogfeld Eigenschaften zurückzukehren.
Hinweis
Die Berechtigungen für den Active Directory-Domänenstamm werden von keinem übergeordneten Container geerbt.
Stammstandardberechtigungen für das AD DS-Connectorkonto (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| Kennwort zurücksetzen | Untergeordnete User-Objekte |
| (leer) | Nachfolger von msDS-Device-Objekten |
| Replizieren von Verzeichnisänderungen | Nur dieses Objekt |
| Alle Verzeichnisänderungen replizieren | Nur dieses Objekt |
| Alle Eigenschaften lesen | Untergeordnete publicFolder-Objekte |
| Alle Eigenschaften mit Lese-/Schreibzugriff | Nachfolger von InetOrgPerson-Objekten |
| Alle Eigenschaften mit Lese-/Schreibzugriff | Nachfolgergruppenobjekte |
| Alle Eigenschaften mit Lese-/Schreibzugriff | Untergeordnete User-Objekte |
| Alle Eigenschaften mit Lese-/Schreibzugriff | Untergeordnete Contact-Objekte |
Stammstandardberechtigungen für authentifizierte Benutzer (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| Aktivieren eines umkehrbar verschlüsselten Kennworts pro Benutzer | Nur dieses Objekt |
| Kennwort nicht angeben | Nur dieses Objekt |
| Bit "Kennwort nicht erforderlich" aktualisieren | Nur dieses Objekt |
| Besondere Mitarbeiter | Nur dieses Objekt |
| (leer) | Dieses Objekt und alle nachfolgerfähigen Objekte |
Stammstandardberechtigungen für alle (Verweigern + Zulassen)
| Typ | Berechtigung | Übernehmen für |
|---|---|---|
| Deny | Löschen aller untergeordneten Objekte | Nur dieses Objekt |
| Zulassen | Alle Eigenschaften lesen | Nur dieses Objekt |
Stammstandardberechtigungen für den zugriff vor Windows 2000 kompatiblen Zugriff (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| Besondere Mitarbeiter | Nachfolger von InetOrgPerson-Objekten |
| Besondere Mitarbeiter | Nachfolgergruppenobjekte |
| Besondere Mitarbeiter | Untergeordnete User-Objekte |
| Besondere Mitarbeiter | Nur dieses Objekt |
| Inhalt auflisten | Dieses Objekt und alle nachfolgerfähigen Objekte |
Stammstandardberechtigungen für SELF (Zulassen)
| Berechtigung | Übernehmen für |
|---|---|
| (leer) | Dieses Objekt und alle nachfolgerfähigen Objekte |
| Besondere Mitarbeiter | Alle nachfolgerfähigen Objekte |
| Überprüfte Schreibvorgänge in Computerattribute | Untergeordnete Computer-Objekte |
| (leer) | Untergeordnete Computer-Objekte |
Erforderliche Berechtigungen für das Benutzerobjekt
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben für das Zielbenutzerobjekt beschrieben, das das Kennwort aktualisieren muss. Führen Sie die folgenden Schritte aus, um die Sicherheitseigenschaften des Benutzerobjekts anzuzeigen, um die vorhandenen Sicherheitsberechtigungen anzuzeigen:
Kehren Sie zum Active Directory-Benutzer und -Computer-Snap-In zurück.
Verwenden Sie die Konsolenstruktur oder das Menüelement Aktionssuche>, um das Zielbenutzerobjekt auszuwählen, und wählen Sie dann das Symbol Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte Sicherheit aus.
Jeder der folgenden Unterabschnitte enthält eine Tabelle mit Standardberechtigungen für Benutzer. In dieser Tabelle sind die erforderlichen Berechtigungseinträge für den Gruppen- oder Benutzernamen im Unterabschnittstitel aufgeführt. Führen Sie die folgenden Schritte für jeden Unterabschnitt aus, um die aktuellen Berechtigungseinträge anzuzeigen und so zu ändern, dass sie den Anforderungen für jeden Gruppen- oder Benutzernamen entsprechen:
Wählen Sie auf der Registerkarte Sicherheit die Schaltfläche Erweitert aus, um das Dialogfeld Erweiterte Sicherheitseinstellungen anzuzeigen.
Stellen Sie sicher, dass die Schaltfläche Vererbung deaktivieren am unteren Rand des Dialogfelds angezeigt wird. Wenn stattdessen die Schaltfläche Vererbung aktivieren angezeigt wird, wählen Sie diese Schaltfläche aus. Mit dem Feature "Vererbung aktivieren" können alle Berechtigungen von übergeordneten Containern und Organisationseinheiten von diesem Objekt geerbt werden. Diese Änderung behebt das Problem.
Vergleichen Sie auf der Registerkarte Berechtigungen die aktuelle Berechtigungsliste mit der Liste der Standardberechtigungen für jede Active Directory-Identität (Prinzipal). Auf der Registerkarte Berechtigungen wird die aktuelle Liste der Benutzerberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Wählen Sie bei Bedarf Hinzufügen aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag aus, und wählen Sie dann Bearbeiten aus, um diesen Eintrag an die Anforderung zu ändern. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie OK aus, um die Änderungen im Dialogfeld Erweiterte Sicherheitseinstellungen zu übernehmen und zum Dialogfeld Eigenschaften zurückzukehren.
Hinweis
Im Gegensatz zum Active Directory-Domänenstamm werden die erforderlichen Berechtigungen für das Benutzerobjekt in der Regel vom Domänenstamm oder von einem übergeordneten Container oder einer Organisationseinheit geerbt. Berechtigungen, die direkt für das Objekt festgelegt wurden, weisen auf eine Vererbung von None hin. Die Vererbung des Zugriffssteuerungseintrags (Access Control Entry, ACE) ist nicht wichtig, solange die Werte in den Spalten Typ, Prinzipal, Access und Gilt für die Berechtigung identisch sind. Bestimmte Berechtigungen können jedoch nur im Domänenstamm festgelegt werden. Diese Entitäten sind in den Unterabschnittstabellen aufgeführt.
Benutzerstandardberechtigungen für das AD DS-Connectorkonto (Zulassen)
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Kennwort zurücksetzen | <Domänenstamm> | Untergeordnete User-Objekte |
| (leer) | <Domänenstamm> | Nachfolger von msDS-Device-Objekten |
| Alle Eigenschaften lesen | <Domänenstamm> | Untergeordnete publicFolder-Objekte |
| Alle Eigenschaften mit Lese-/Schreibzugriff | <Domänenstamm> | Nachfolger von InetOrgPerson-Objekten |
| Alle Eigenschaften mit Lese-/Schreibzugriff | <Domänenstamm> | Nachfolgergruppenobjekte |
| Alle Eigenschaften mit Lese-/Schreibzugriff | <Domänenstamm> | Untergeordnete User-Objekte |
| Alle Eigenschaften mit Lese-/Schreibzugriff | <Domänenstamm> | Untergeordnete Contact-Objekte |
Benutzerstandardberechtigungen für authentifizierte Benutzer (Zulassen)
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Allgemeine Informationen lesen | Keine | Nur dieses Objekt |
| Öffentliche Informationen lesen | Keine | Nur dieses Objekt |
| Lesen von persönlichen Informationen | Keine | Nur dieses Objekt |
| Lesen von Webinformationen | Keine | Nur dieses Objekt |
| Leseberechtigungen | Keine | Nur dieses Objekt |
| Lesen von Exchange-Informationen | <Domänenstamm> | Dieses Objekt und alle nachfolgerfähigen Objekte |
Benutzerstandardberechtigungen für Alle (Zulassen)
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Kennwort ändern | Keine | Nur dieses Objekt |
Benutzerstandardberechtigungen für den zugriff vor Windows 2000 kompatiblen Zugriff (Zulassen)
Zu den Sonderberechtigungen in dieser Tabelle gehören Listeninhalte, Alle Lesen-Eigenschaften und Leseberechtigungen .
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Besondere Mitarbeiter | <Domänenstamm> | Nachfolger von InetOrgPerson-Objekten |
| Besondere Mitarbeiter | <Domänenstamm> | Nachfolgergruppenobjekte |
| Besondere Mitarbeiter | <Domänenstamm> | Untergeordnete User-Objekte |
| Inhalt auflisten | <Domänenstamm> | Dieses Objekt und alle nachfolgerfähigen Objekte |
Benutzerstandardberechtigungen für SELF (Zulassen)
Die Sonderberechtigungen in dieser Tabelle umfassen nur lese-/schreibberechtigungen für private Informationen .
| Berechtigung | Geerbt von | Übernehmen für |
|---|---|---|
| Kennwort ändern | Keine | Nur dieses Objekt |
| Senden als | Keine | Nur dieses Objekt |
| Empfangen als | Keine | Nur dieses Objekt |
| Lesen/Schreiben von persönlichen Informationen | Keine | Nur dieses Objekt |
| Telefon- und E-Mail-Optionen mit Lese-/Schreibzugriff | Keine | Nur dieses Objekt |
| Lesen/Schreiben von Webinformationen | Keine | Nur dieses Objekt |
| Besondere Mitarbeiter | Keine | Nur dieses Objekt |
| Überprüfte Schreibvorgänge in Computerattribute | <Domänenstamm> | Untergeordnete Computer-Objekte |
| (leer) | <Domänenstamm> | Untergeordnete Computer-Objekte |
| (leer) | <Domänenstamm> | Dieses Objekt und alle nachfolgerfähigen Objekte |
| Besondere Mitarbeiter | <Domänenstamm> | Dieses Objekt und alle nachfolgerfähigen Objekte |
Erforderliche Berechtigungen für das SAM-Serverobjekt
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben für das SAM-Serverobjekt (CN=Server,CN=System,DC=Contoso,DC=com) beschrieben. Führen Sie die folgenden Schritte aus, um die Sicherheitseigenschaften des SAM-Serverobjekts (samServer) zu ermitteln:
Kehren Sie zum Active Directory-Benutzer und -Computer-Snap-In zurück.
Suchen Sie in der Konsolenstruktur den Systemcontainer , und wählen Sie ihn aus.
Suchen Sie server (das samServer-Objekt), wählen Sie ihn aus, und wählen Sie dann das Symbol Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften für das Objekt die Registerkarte Sicherheit aus.
Wählen Sie das Dialogfeld Erweiterte Sicherheitseinstellungen aus. Auf der Registerkarte Berechtigungen wird die aktuelle Liste der samServer-Objektberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Stellen Sie sicher, dass mindestens einer der folgenden Prinzipale im Zugriffssteuerungseintrag für das samServer-Objekt aufgeführt ist. Wenn nur der zugriff vor Windows 2000 kompatible Zugriff aufgeführt ist, stellen Sie sicher, dass authentifizierte Benutzer Mitglied dieser integrierten Gruppe sind.
Berechtigungen für vor Windows 2000 kompatiblen Zugriff (Zulassen)
Besondere Berechtigungen müssen die Berechtigungen Inhalt auflisten, Alle Eigenschaften lesen und Lesen enthalten.
Berechtigungen für authentifizierte Benutzer (Zulassen)
Besondere Berechtigungen müssen die Berechtigungen Inhalt auflisten, Alle Eigenschaften lesen und Lesen enthalten.
Erforderliche Berechtigungen für den integrierten Container
In diesem Abschnitt werden die erwarteten Active Directory-Berechtigungen für das Kennwortrückschreiben für den integrierten Container beschrieben. Führen Sie die folgenden Schritte aus, um die Sicherheitseigenschaften des integrierten Objekts abzurufen, um die vorhandenen Sicherheitsberechtigungen anzuzeigen:
Öffnen Sie das Active Directory-Benutzer und -Computer-Snap-In.
Suchen Sie in der Konsolenstruktur den Integrierten Container, wählen Sie ihn aus, und wählen Sie dann das Symbol Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften für das Konto die Registerkarte Sicherheit aus.
Wählen Sie die Schaltfläche Erweitert aus, um das Dialogfeld Erweiterte Sicherheitseinstellungen anzuzeigen. Auf der Registerkarte Berechtigungen wird die aktuelle Liste der integrierten Containerberechtigungen für jede Active Directory-Identität (Prinzipal) angezeigt.
Vergleichen Sie diese aktuelle Berechtigungsliste wie folgt mit der Liste der erforderlichen Zulassungsberechtigungen für das MSOL_ -Konto.
Berechtigung Geerbt von Übernehmen für Alle Eigenschaften mit Lese-/Schreibzugriff <Domänenstamm> Nachfolger von InetOrgPerson-Objekten Alle Eigenschaften mit Lese-/Schreibzugriff <Domänenstamm> Nachfolgergruppenobjekte Alle Eigenschaften mit Lese-/Schreibzugriff <Domänenstamm> Untergeordnete User-Objekte Alle Eigenschaften mit Lese-/Schreibzugriff <Domänenstamm> Untergeordnete Contact-Objekte Wählen Sie bei Bedarf Hinzufügen aus, um erforderliche Berechtigungseinträge hinzuzufügen, die in der aktuellen Liste fehlen. Oder wählen Sie einen Berechtigungseintrag aus, und wählen Sie dann Bearbeiten aus, um diesen Eintrag an die Anforderung zu ändern. Wiederholen Sie diesen Schritt, bis die aktuellen Berechtigungseinträge mit der Unterabschnittstabelle übereinstimmen.
Wählen Sie OK aus, um das Dialogfeld Erweiterte Sicherheitseinstellungen zu beenden und zum Dialogfeld Eigenschaften zurückzukehren.
Weitere erforderliche Active Directory-Berechtigungen
Wechseln Sie in den Eigenschaften der Gruppe Pre-Windows 2000 Compatible Access zur Registerkarte Mitglieder , und stellen Sie sicher, dass authentifizierte Benutzer Mitglied dieser Gruppe sind. Andernfalls können Probleme auftreten, die sich auf das Kennwortrückschreiben in Microsoft Entra Connect und Active Directory auswirken (insbesondere bei älteren Versionen).
Erforderliche Domänengruppenrichtlinien
Führen Sie die folgenden Schritte aus, um sicherzustellen, dass Sie über die richtigen Domänengruppenrichtlinien verfügen:
Wählen Sie Start aus, geben Sie secpol.msc ein, und wählen Sie dann lokale Sicherheitsrichtlinie in den Suchergebnissen aus.
Erweitern Sie in der Konsolenstruktur unter Sicherheitseinstellungendie Option Lokale Richtlinien, und wählen Sie dann Zuweisung von Benutzerrechten aus.
Wählen Sie in der Liste der Richtlinien die Option Identität eines Clients nach der Authentifizierung annehmen und dann das Symbol Eigenschaften aus.
Stellen Sie im Dialogfeld Eigenschaften sicher, dass die folgenden Gruppen auf der Registerkarte Lokale Sicherheitseinstellung aufgeführt sind:
- Administratoren
- LOCAL SERVICE
- NETZWERKDIENST
- DIENST
Weitere Informationen finden Sie unter den Standardwerten für die Richtlinie Identität eines Clients nach der Authentifizierung annehmen.
Kontaktieren Sie uns für Hilfe
Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für