Solución de problemas de permisos y derechos de acceso de escritura diferida de contraseñas
En este artículo se describen los derechos de acceso y los permisos necesarios en la raíz del dominio, el objeto de usuario y el contenedor Builtin en Active Directory. También se describen los siguientes elementos:
- Directivas de grupo de dominio necesarias
- Cómo identificar la cuenta del conector de Servicios de dominio de Active Directory (AD DS) que usa Microsoft Entra Connect
- Cómo comprobar los permisos existentes en esa cuenta
- Cómo evitar problemas de replicación
Esta información puede ayudarle a solucionar problemas específicos que implican la escritura diferida de contraseñas.
Identificación de la cuenta del conector de AD DS
Antes de comprobar si hay permisos de escritura diferida de contraseñas, compruebe la cuenta actual del conector de AD DS (también conocida como cuenta de MSOL_) en Microsoft Entra Connect. La comprobación de esta cuenta le ayuda a evitar realizar los pasos incorrectos durante la solución de problemas de escritura diferida de contraseñas.
Para identificar la cuenta del conector de AD DS:
Abra el Synchronization Service manager. Para ello, seleccione Inicio, escriba Microsoft Entra Conectar, seleccione Microsoft Entra Conectar en los resultados de la búsqueda y, a continuación, seleccione Servicio de sincronización.
Seleccione la pestaña Conectores y, a continuación, seleccione el conector de Active Directory correspondiente. En el panel Acciones , seleccione Propiedades para abrir el cuadro de diálogo Propiedades .
En el panel izquierdo de la ventana Propiedades , seleccione Conectarse al bosque de Active Directory y, a continuación, copie el nombre de cuenta que aparece como Nombre de usuario.
Comprobación de los permisos existentes de la cuenta del conector de AD DS
Para establecer los permisos correctos de Active Directory para la escritura diferida de contraseñas, use el módulo integrado de PowerShell ADSyncConfig. El módulo ADSyncConfig incluye un método para establecer permisos para la escritura diferida de contraseñas mediante el cmdlet Set-ADSyncPasswordWritebackPermissions .
Para comprobar si la cuenta del conector de AD DS (es decir, la cuenta de MSOL_ ) tiene los permisos correctos para un usuario específico, use una de las herramientas siguientes:
- Usuarios y equipos de Active Directory complemento en Microsoft Management Console (MMC)
- Símbolo del sistema
- PowerShell
Complemento Usuarios y equipos de Active Directory
Use el complemento MMC para Usuarios y equipos de Active Directory. Siga estos pasos:
Seleccione Inicio, escriba dsa.msc y, a continuación, seleccione el complemento Usuarios y equipos de Active Directory en los resultados de la búsqueda.
Seleccione Ver>características avanzadas.
En el árbol de consola, busque y seleccione la cuenta de usuario para la que desea comprobar los permisos. A continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad y, a continuación, seleccione el botón Opciones avanzadas .
En el cuadro de diálogo Configuración de seguridad avanzada de la cuenta, seleccione la pestaña Permisos efectivos . A continuación, en la sección Nombre de usuario o grupo , seleccione el botón Seleccionar .
En el cuadro de diálogo Seleccionar usuario, equipo o grupo , seleccione Buscar avanzada>ahora para mostrar la lista de selección. En el cuadro de resultados Búsqueda, seleccione el nombre de la cuenta de MSOL_.
Seleccione Aceptar dos veces para volver a la pestaña Permisos efectivos en el cuadro de diálogo Configuración de seguridad avanzada . Ahora, puede ver la lista de permisos efectivos para la cuenta de MSOL_ asignada a la cuenta de usuario. La lista de los permisos predeterminados necesarios para la escritura diferida de contraseñas se muestra en la sección Permisos necesarios en el objeto de usuario de este artículo.
Símbolo del sistema
Use el comando dsacls para mostrar las listas de control de acceso (ACL o permisos) de la cuenta del conector de AD DS. El siguiente comando almacena la salida del comando en un archivo de texto, aunque puede modificarlo para mostrar la salida en la consola:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Puede usar este método para analizar los permisos de cualquier objeto de Active Directory. Sin embargo, no resulta útil comparar los permisos entre objetos porque la salida de texto no está ordenada.
PowerShell
Use el cmdlet Get-Acl para obtener los permisos de la cuenta del conector de AD DS y, a continuación, almacene la salida como un archivo XML mediante el cmdlet Export-Clixml , como se indica a continuación:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
El método de PowerShell es útil para el análisis sin conexión. Permite importar el archivo mediante el cmdlet Import-Clixml . También mantiene la estructura original de la ACL y sus propiedades. Puede usar este método para analizar los permisos de cualquier objeto de Active Directory.
Evitar problemas de replicación al corregir permisos
Al corregir los permisos de Active Directory, es posible que los cambios en Active Directory no surtan efecto inmediatamente. Los permisos de Active Directory también están sujetos a replicación en el bosque de la misma manera que los objetos de Active Directory. ¿Cómo se mitigan los problemas o retrasos de replicación de Active Directory? Establezca un controlador de dominio preferido en Microsoft Entra Connect y trabaje solo en ese controlador de dominio para los cambios. Cuando use el complemento Usuarios y equipos de Active Directory, haga clic con el botón derecho en la raíz del dominio en el árbol de consola, seleccione el elemento de menú Cambiar controlador de dominio y, a continuación, elija el mismo controlador de dominio preferido.
Para una comprobación rápida de cordura en Active Directory, ejecute diagnósticos del controlador de dominio mediante el comando dcdiag . A continuación, ejecute el comando repadmin /replsummary para ver un resumen de los problemas de replicación. Los siguientes comandos almacenan la salida del comando en archivos de texto, aunque puede modificarlos para mostrar la salida en la consola:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Permisos necesarios en la raíz del dominio de Active Directory
En esta sección se describen los permisos esperados de Active Directory para la escritura diferida de contraseñas en la raíz del dominio de Active Directory. No confunda esta raíz con la raíz del bosque de Active Directory. Un bosque puede tener varios dominios de Active Directory. Cada dominio debe tener los permisos correctos establecidos en su propia raíz, de modo que la escritura diferida de contraseñas pueda funcionar para los usuarios de ese dominio.
Puede ver los permisos de Active Directory existentes en las propiedades de seguridad de la raíz del dominio. Siga estos pasos:
Abra el complemento Usuarios y equipos de Active Directory.
En el árbol de consola, busque y seleccione la raíz del dominio de Active Directory y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad .
Cada una de las siguientes subsecciones contiene una tabla de permisos predeterminados de raíz de dominio. En esta tabla se muestran las entradas de permiso necesarias para el grupo o el nombre de usuario que se encuentra en el título de la subsección. Para ver y modificar las entradas de permisos actuales para que coincidan con los requisitos de cada grupo o nombre de usuario, siga estos pasos para cada subsección:
En la pestaña Seguridad , seleccione el botón Opciones avanzadas para ver el cuadro de diálogo Configuración de seguridad avanzada . La pestaña Permisos muestra la lista actual de permisos raíz de dominio para cada identidad de Active Directory (entidad de seguridad).
Compare la lista de permisos actual con la lista de permisos predeterminados para cada identidad de Active Directory (entidad de seguridad).
Si es necesario, seleccione Agregar para agregar las entradas de permisos necesarias que faltan en la lista actual. O bien, seleccione una entrada de permiso y, a continuación, seleccione Editar para modificar esa entrada para satisfacer el requisito. Repita este paso hasta que las entradas de permiso actuales coincidan con la tabla de subsección.
Seleccione Aceptar para aceptar los cambios en el cuadro de diálogo Configuración de seguridad avanzada y volver al cuadro de diálogo Propiedades .
Nota:
Los permisos de la raíz del dominio de Active Directory no se heredan de ningún contenedor primario.
Permisos predeterminados raíz para la cuenta del conector de AD DS (permitir)
| Permiso | Aplicar a |
|---|---|
| Restablecer contraseña | Objetos de usuario descendientes |
| (en blanco) | Objetos msDS-Device descendientes |
| Replicación de cambios en el directorio | Solo este objeto |
| Replicar todos los cambios de directorio | Solo este objeto |
| Leer todas las propiedades | Objetos publicFolder descendientes |
| Lectura y escritura de todas las propiedades | Objetos InetOrgPerson descendientes |
| Lectura y escritura de todas las propiedades | Objetos Group descendientes |
| Lectura y escritura de todas las propiedades | Objetos de usuario descendientes |
| Lectura y escritura de todas las propiedades | Objetos de contacto descendientes |
Permisos predeterminados raíz para usuarios autenticados (permitir)
| Permiso | Aplicar a |
|---|---|
| Habilitación de contraseñas cifradas de forma reversa por usuario | Solo este objeto |
| Contraseña no desajuste | Solo este objeto |
| Actualizar la contraseña no es un bit necesario | Solo este objeto |
| Especial | Solo este objeto |
| (en blanco) | Este objeto y todos los objetos descendientes |
Permisos predeterminados raíz para todos (Denegar y permitir)
| Tipo | Permiso | Aplicar a |
|---|---|---|
| Denegar | Eliminar todos los objetos secundarios | Solo este objeto |
| Permitir | Leer todas las propiedades | Solo este objeto |
Permisos predeterminados raíz para el acceso compatible con Windows 2000 anterior (permitir)
| Permiso | Aplicar a |
|---|---|
| Especial | Objetos InetOrgPerson descendientes |
| Especial | Objetos Group descendientes |
| Especial | Objetos de usuario descendientes |
| Especial | Solo este objeto |
| Mostrar contenido | Este objeto y todos los objetos descendientes |
Permisos predeterminados raíz para SELF (Permitir)
| Permiso | Aplicar a |
|---|---|
| (en blanco) | Este objeto y todos los objetos descendientes |
| Especial | Todos los objetos descendientes |
| Escritura validada en atributos de equipo | Objetos de equipo descendientes |
| (en blanco) | Objetos de equipo descendientes |
Permisos necesarios en el objeto de usuario
En esta sección se describen los permisos esperados de Active Directory para la escritura diferida de contraseñas en el objeto de usuario de destino que tiene que actualizar la contraseña. Para ver los permisos de seguridad existentes, siga estos pasos para mostrar las propiedades de seguridad del objeto de usuario:
Vuelva al complemento Usuarios y equipos de Active Directory.
Use el árbol de consola o el elemento de menúBúsqueda de acciones> para seleccionar el objeto de usuario de destino y, a continuación, seleccione el icono Propiedades.
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad .
Cada una de las siguientes subsecciones contiene una tabla de permisos predeterminados del usuario. En esta tabla se muestran las entradas de permiso necesarias para el grupo o el nombre de usuario que se encuentra en el título de la subsección. Para ver y modificar las entradas de permisos actuales para que coincidan con los requisitos de cada grupo o nombre de usuario, siga estos pasos para cada subsección:
En la pestaña Seguridad , seleccione el botón Opciones avanzadas para ver el cuadro de diálogo Configuración de seguridad avanzada .
Asegúrese de que el botón Deshabilitar herencia se muestra cerca de la parte inferior del cuadro de diálogo. Si en su lugar se muestra el botón Habilitar herencia , seleccione ese botón. La característica habilitar herencia permite que este objeto herede todos los permisos de contenedores primarios y unidades organizativas. Este cambio resuelve el problema.
En la pestaña Permisos , compare la lista de permisos actuales con la lista de permisos predeterminados para cada identidad de Active Directory (entidad de seguridad). La pestaña Permisos muestra la lista actual de permisos de usuario para cada identidad de Active Directory (entidad de seguridad).
Si es necesario, seleccione Agregar para agregar las entradas de permisos necesarias que faltan en la lista actual. O bien, seleccione una entrada de permiso y, a continuación, seleccione Editar para modificar esa entrada para satisfacer el requisito. Repita este paso hasta que las entradas de permiso actuales coincidan con la tabla de subsección.
Seleccione Aceptar para aceptar los cambios en el cuadro de diálogo Configuración de seguridad avanzada y volver al cuadro de diálogo Propiedades .
Nota:
A diferencia de la raíz del dominio de Active Directory, los permisos necesarios para el objeto de usuario normalmente se heredan de la raíz del dominio o de un contenedor primario o unidad organizativa. Los permisos que se establecieron directamente en el objeto indicarán una herencia de None. La herencia de la entrada de control de acceso (ACE) no es importante, siempre que los valores de las columnas Type, Principal, Access y Applies for the permission sean los mismos. Sin embargo, determinados permisos solo se pueden establecer en la raíz del dominio. Estas entidades se enumeran en las tablas de subsección.
Permisos predeterminados del usuario para la cuenta del conector de AD DS (Permitir)
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Restablecer contraseña | <raíz del dominio> | Objetos de usuario descendientes |
| (en blanco) | <raíz del dominio> | Objetos msDS-Device descendientes |
| Leer todas las propiedades | <raíz del dominio> | Objetos publicFolder descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos InetOrgPerson descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos Group descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos de usuario descendientes |
| Lectura y escritura de todas las propiedades | <raíz del dominio> | Objetos de contacto descendientes |
Permisos predeterminados de usuario para usuarios autenticados (permitir)
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Leer información general | Ninguno | Solo este objeto |
| Leer información pública | Ninguno | Solo este objeto |
| Leer información personal | Ninguno | Solo este objeto |
| Leer información web | Ninguno | Solo este objeto |
| Permisos de lectura | Ninguno | Solo este objeto |
| Leer información de Exchange | <raíz del dominio> | Este objeto y todos los objetos descendientes |
Permisos predeterminados de usuario para todos (permitir)
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Cambiar contraseña | Ninguno | Solo este objeto |
Permisos predeterminados del usuario para el acceso compatible anterior a Windows 2000 (permitir)
Los permisos especiales de esta tabla incluyen los derechos Contenido de lista, Leer todas las propiedades y Permisos de lectura .
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Especial | <raíz del dominio> | Objetos InetOrgPerson descendientes |
| Especial | <raíz del dominio> | Objetos Group descendientes |
| Especial | <raíz del dominio> | Objetos de usuario descendientes |
| Mostrar contenido | <raíz del dominio> | Este objeto y todos los objetos descendientes |
Permisos predeterminados del usuario para SELF (Permitir)
Los permisos especiales de esta tabla incluyen solo derechos de información privada de lectura y escritura .
| Permiso | Heredado de | Aplicar a |
|---|---|---|
| Cambiar contraseña | Ninguno | Solo este objeto |
| Enviar como | Ninguno | Solo este objeto |
| Recibir como | Ninguno | Solo este objeto |
| Información personal de lectura y escritura | Ninguno | Solo este objeto |
| Opciones de teléfono y correo de lectura y escritura | Ninguno | Solo este objeto |
| Información web de lectura y escritura | Ninguno | Solo este objeto |
| Especial | Ninguno | Solo este objeto |
| Escritura validada en atributos de equipo | <raíz del dominio> | Objetos de equipo descendientes |
| (en blanco) | <raíz del dominio> | Objetos de equipo descendientes |
| (en blanco) | <raíz del dominio> | Este objeto y todos los objetos descendientes |
| Especial | <raíz del dominio> | Este objeto y todos los objetos descendientes |
Permisos necesarios en el objeto de servidor SAM
En esta sección se describen los permisos esperados de Active Directory para la escritura diferida de contraseñas en el objeto de servidor administrador de cuentas de seguridad (SAM) (CN=Server,CN=System,DC=Contoso,DC=com). Para buscar las propiedades de seguridad del objeto de servidor SAM (samServer), siga estos pasos:
Vuelva al complemento Usuarios y equipos de Active Directory.
En el árbol de consola, busque y seleccione el contenedor del sistema .
Busque y seleccione Servidor (el objeto samServer) y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades del objeto, seleccione la pestaña Seguridad .
Seleccione el cuadro de diálogo Configuración de seguridad avanzada . La pestaña Permisos muestra la lista actual de permisos de objeto samServer para cada identidad de Active Directory (entidad de seguridad).
Compruebe que al menos una de las siguientes entidades de seguridad aparece en la entrada de control de acceso para el objeto samServer. Si solo aparece el acceso compatible anterior a Windows 2000 , asegúrese de que los usuarios autenticados sean miembros de este grupo integrado.
Permisos para el acceso compatible con Windows 2000 anterior (permitir)
Los permisos especiales deben incluir los derechos Contenido de lista, Leer todas las propiedades y Permisos de lectura .
Permisos para usuarios autenticados (permitir)
Los permisos especiales deben incluir los derechos Contenido de lista, Leer todas las propiedades y Permisos de lectura .
Permisos necesarios en el contenedor Builtin
En esta sección se describen los permisos esperados de Active Directory para la escritura diferida de contraseñas en el contenedor Builtin. Para ver los permisos de seguridad existentes, siga estos pasos para obtener las propiedades de seguridad del objeto integrado:
Abra el complemento Usuarios y equipos de Active Directory.
En el árbol de consola, busque y seleccione el contenedor Builtin y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades de la cuenta, seleccione la pestaña Seguridad .
Seleccione el botón Opciones avanzadas para ver el cuadro de diálogo Configuración de seguridad avanzada . La pestaña Permisos muestra la lista actual de permisos de contenedor integrados para cada identidad de Active Directory (entidad de seguridad).
Compare esta lista de permisos actuales con la lista de permisos permitidos necesarios para la cuenta de MSOL_ , como se indica a continuación.
Permiso Heredado de Aplicar a Lectura y escritura de todas las propiedades <raíz del dominio> Objetos InetOrgPerson descendientes Lectura y escritura de todas las propiedades <raíz del dominio> Objetos Group descendientes Lectura y escritura de todas las propiedades <raíz del dominio> Objetos de usuario descendientes Lectura y escritura de todas las propiedades <raíz del dominio> Objetos de contacto descendientes Si es necesario, seleccione Agregar para agregar las entradas de permisos necesarias que faltan en la lista actual. O bien, seleccione una entrada de permiso y, a continuación, seleccione Editar para modificar esa entrada para satisfacer el requisito. Repita este paso hasta que las entradas de permiso actuales coincidan con la tabla de subsección.
Seleccione Aceptar para salir del cuadro de diálogo Configuración de seguridad avanzada y volver al cuadro de diálogo Propiedades .
Otros permisos necesarios de Active Directory
En las propiedades del grupo Acceso compatible anterior a Windows 2000 , vaya a la pestaña Miembros y asegúrese de que Los usuarios autenticados son miembros de este grupo. De lo contrario, puede experimentar problemas que afectan a la escritura diferida de contraseñas en Microsoft Entra Connect y Active Directory (especialmente en versiones anteriores).
Directivas de grupo de dominio necesarias
Para asegurarse de que tiene las directivas de grupo de dominio correctas, siga estos pasos:
Seleccione Inicio, escriba secpol.msc y, a continuación, seleccione Directiva de seguridad local en los resultados de la búsqueda.
En el árbol de consola, en Configuración de seguridad, expanda Directivas locales y, a continuación, seleccione Asignación de derechos de usuario.
En la lista de directivas, seleccione Suplantar un cliente después de la autenticación y, a continuación, seleccione el icono Propiedades .
En el cuadro de diálogo Propiedades , asegúrese de que los siguientes grupos aparecen en la pestaña Configuración de seguridad local :
- Administradores
- SERVICIO LOCAL
- SERVICIO DE RED
- SERVICE
Para obtener más información, vea los valores predeterminados de suplantar un cliente después de la directiva de autenticación.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de