Forefront Identity Manager 2010– Kennwortzurücksetzungsproblem

Dieser Artikel hilft Ihnen, das Problem zu beheben, bei dem Forefront Identity Manager Kennwörter für eine Gruppe von Benutzerobjekten nicht zurücksetzen kann.

Ursprüngliche Produktversion:   Forefront Identity Manager 2010
Ursprüngliche KB-Nummer:   2028194

Problembeschreibung

Sie verwenden den Forefront Identity Manager (FIM)-Self-Service-Client für die Kennwortzurücksetzung und sind dabei, Ihr Kennwort zurückzusetzen. Sie haben die Abfragefragen erfolgreich beantwortet. Wenn Sie auf der Seite "Neues Kennwort eingeben" auf die Schaltfläche "Zurücksetzen" klicken, wird der Fehler in einem Dialogfeld zurückgegeben:

Beim Versuch, das Kennwort zurückzusetzen, ist ein Fehler aufgetreten. Versuchen Sie es erneut.

Auf dem Server, auf dem der FIM-Dienst ausgeführt wird, protokolliert ein entsprechendes Anwendungs- und Dienstereignis den Fehler:

"PWReset Activity"s MIIS Password Set call failed with ma-access-denied" is written to the FIM event log.

Ursache

Der Rückgabecode "ma-access-denied" gibt an, dass der relevante Active Directory-Verwaltungs-Agent (AD MA) nicht berechtigt ist, das Kennwort für ein bestimmtes Zielbenutzerobjekt festzulegen.

In diesem Artikel wird das spezifische Szenario beschrieben, in dem Forefront Identity Manager keine Kennwörter für eine Gruppe von Benutzerobjekten zurücksetzen kann, deren Security Descriptor-Attribut von der Domäne so verwaltet wird, dass sie der Sicherheitsbeschreibung des AdminSDHolder-Objekts entspricht.

Weitere Informationen zum AdminSDHolder finden Sie im Abschnitt "Weitere Informationen" in diesem Artikel.

Lösung

Verwenden Sie eine der folgenden Auflösungen:

1. Erteilen Sie dem Active Directory-Verwaltungs-Agent-Konto ausreichende Berechtigungen, um Kennwörter für diese Benutzerobjekte zurückzusetzen.
2. Entfernen Sie die Benutzerobjekte, deren Sicherheitsbeschreibung vom AdminSDHolder verwaltet wird, aus der Gruppe der Benutzer, die für Self-Service Kennwortzurücksetzung in FIM aktiviert sind.

Detaillierte Optionen zum Beheben dieses Problems

• Entscheiden Sie, dass diese Konten zu wichtig sind, und gestatten Sie es ihnen nicht, FIM zum Zurücksetzen ihrer Kennwörter zu verwenden, indem Sie diese Benutzer aus dem Festgelegten für die Kennwortzurücksetzung nehmen.

• Entfernen Sie Benutzer, die ihre Kennwortzurücksetzungsoptionen über FIM verwalten, aus den unten aufgeführten Gruppen.

• Wenn sich die Benutzer, die die Kennwortzurücksetzung mit FIM verwalten werden, in einer der folgenden Gruppen und in keiner anderen Gruppe befinden, sollten Sie erwägen, eine oder mehrere dieser Gruppen aus der Verwaltung des AdminSDHolder zu entfernen (Delegierte Berechtigungen sind nicht verfügbar und die Vererbung wird automatisch deaktiviert).

  • Kontooperatoren
  • Serveroperatoren
  • Druckoperatoren
  • Sicherungs-Operatoren

• Gewähren Sie dem Active Directory MA-Konto im AdminSDHolder-Objekt Änderungskennwort- und Kennwortzurücksetzungsrechte.

  • Diese Lösung ermöglicht es dem Active Directory MA-Konto, das Kennwort jedes Benutzers zurückzusetzen, der Mitglied der unten aufgeführten Gruppen AdminSDHolder Secured Groups ist.
  • Um diese Berechtigungen für das AdminSDHolder-Objekt zu erteilen, muss der dsacls Befehl verwendet werden. Beispiele finden Sie Granting Permissions on the AdminSDHolder Object im Abschnitt "Weitere Informationen".

Weitere Informationen

Zum Sichern der Administratorkonten in Active Directory gibt es einen Prozess, der automatisch für Mitglieder der folgenden Gruppen ausgeführt wird, um die Sicherheitsbeschreibung so festzulegen, dass sie dem des AdminSDHolder-Objekts im Active Directory entspricht.

• Administratoren
• Kontooperatoren
• Serveroperatoren
• Druckoperatoren
• Sicherungs-Operatoren
• Domänen-Admins
• Schema-Admins
• Organisations-Admins
• Zertifikatsverlage

Wie und warum dieser Prozess eingerichtet ist, ist wichtig zu verstehen, bevor Änderungen an den Berechtigungen für diese Objekte über eine Änderung in der Sicherheitsbeschreibung des AdminSDHolder-Objekts vorgenommen werden. Es gibt viele gute Artikel, die auf der Microsoft-Website veröffentlicht wurden. Suchen Sie einfach in Microsoft-Dokumentennach "AdminSDHolder".

Gewähren von Berechtigungen für das AdminSDHolder-Objekt

Wichtig

Wenn Sie eine Änderung an der AdminSDHolder-Sicherheitsbeschreibung vornehmen, stellen Sie bitte fest, dass diese Änderung auf jedes Objekt angewendet wird, dessen Sicherheitsbeschreibung von Active Directory verwaltet wird, um dem AdminSDHolder zu entsprechen. Dazu gehören unter anderem Mitglieder der Sicherheitsgruppen "Domänenadministratoren" und "Enterprise Administratoren". Verwenden Sie zum Delegieren von Kennwortänderungs- und Kennwortzurücksetzungsrechten an AdminSDHolder dsacls die folgenden Befehlszeilen:

dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "mydomain\svc_fimadma:CA;Reset Password"
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "mydomain\svc_fimadma:CA;Change Password"

Hinweis

Ändern Sie den Distinguished Name und das AD MA-Konto in den obigen Befehlen entsprechend Ihrem System.

References

• AdminSDHolder, geschützte Gruppen und SDPROP

• Delegierte Berechtigungen sind nicht verfügbar, und die Vererbung wird automatisch deaktiviert.

• Funktionsweise von Sicherheitsprinzipalen