Problema de restablecimiento de contraseña de Forefront Identity Manager 2010

Este artículo le ayuda a resolver el problema en el que Forefront Identity Manager no puede restablecer contraseñas en un grupo de objetos de usuario.

Versión del producto original:   Forefront Identity Manager 2010
Número KB original:   2028194

Síntomas

Está usando el cliente de restablecimiento de contraseña de autoservicio de Forefront Identity Manager (FIM) y está en proceso de restablecer la contraseña. Has respondido correctamente a las preguntas de desafío. Al hacer clic en el botón Restablecer de la página Escribir la nueva contraseña, un cuadro de diálogo devuelve el error:

Se produjo un error al intentar restablecer la contraseña, inténtelo de nuevo.

En el servidor que ejecuta el servicio FIM, un evento de servicio y aplicaciones correspondiente registra el error:

"La llamada al conjunto de contraseñas de MIIS de PWReset Activity falló con ma-access-denied" se escribe en el registro de eventos fim.

Causa

El código devuelto ma-access-denied indica que el agente de administración de Active Directory (AD MA) relevante no tiene derecho a establecer la contraseña en un objeto de usuario de destino específico.

En este artículo se describe el escenario específico en el que Forefront Identity Manager no puede restablecer las contraseñas de un grupo de objetos de usuario cuyo atributo Descriptor de seguridad está administrado por el dominio para que coincida con el Descriptor de seguridad del objeto AdminSDHolder.

Para obtener más información acerca de AdminSDHolder, consulte la sección Más información de este artículo.

Solución

Use una de las siguientes resoluciones:

1. Conceder permisos suficientes a la cuenta del Agente de administración de Active Directory puede restablecer las contraseñas en estos objetos de usuario.
2. Quite los objetos de usuario cuyo descriptor de seguridad está administrado por adminSDHolder del conjunto de usuarios que están habilitados para el Self-Service restablecimiento de contraseña en FIM.

Opciones detalladas para resolver este problema

• Decida que estas cuentas son demasiado importantes y no les permiten usar FIM para restablecer sus contraseñas sacando a esos usuarios del conjunto de usuarios de restablecimiento de contraseña.

• Quite los usuarios que administrarán sus opciones de restablecimiento de contraseña a través de FIM de los grupos que se enumeran a continuación.

• Si los usuarios que administrarán el restablecimiento de contraseña mediante FIM se encuentran en uno de los siguientes grupos y no están en ningún otro, considere la posibilidad de quitar uno o varios de estos grupos de la administración de AdminSDHolder ( Los permisosdelegadosno están disponibles y la herencia se deshabilita automáticamente).

  • Operadores de cuentas
  • Operadores de servidor
  • Operadores de impresión
  • Operadores de copia de seguridad

• Conceda los derechos Cambiar contraseña y Restablecer contraseña a la cuenta ma de Active Directory en el objeto AdminSDHolder.

  • Esta solución permitirá que la cuenta ma de Active Directory restablezca la contraseña de todos los usuarios que son miembros de los grupos que se enumeran a continuación en AdminSDHolder Secured Groups .
  • Para conceder estos permisos en el objeto AdminSDHolder, se dsacls debe usar el comando. Vea ejemplos en Granting Permissions on the AdminSDHolder Object la sección Más información.

Más información

Para proteger las cuentas administrativas en Active Directory, hay un proceso que se ejecuta automáticamente en los miembros de los siguientes grupos para establecer el descriptor de seguridad para que coincida con el del objeto AdminSDHolder en Active Directory.

• Administradores
• Operadores de cuentas
• Operadores de servidor
• Operadores de impresión
• Operadores de copia de seguridad
• Administradores de dominio
• Administradores del esquema
• Administradores de la empresa
• Cert Publishers

Es importante comprender cómo y por qué está en marcha este proceso antes de realizar cambios en los permisos de estos objetos mediante un cambio en el Descriptor de seguridad del objeto AdminSDHolder. Hay muchos artículos buenos publicados en el sitio web de Microsoft. Simplemente busque AdminSDHolder en Microsoft Docs.

Concesión de permisos en el objeto AdminSDHolder

Importante

Al realizar un cambio en el descriptor de seguridad AdminSDHolder, tenga en cuenta que este cambio se aplica a todos los objetos cuyo descriptor de seguridad está administrado por Active Directory para que coincida con adminSDHolder. Esto incluye, entre otros, miembros de los grupos de seguridad Administradores de dominio Enterprise administradores. Para delegar los derechos Cambiar contraseña y Restablecer contraseña en AdminSDHolder, use en una línea de comandos de la dsacls siguiente manera:

dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "mydomain\svc_fimadma:CA;Reset Password"
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "mydomain\svc_fimadma:CA;Change Password"

Nota

Modifique el nombre distintivo y la cuenta de AD MA en los comandos anteriores para que coincidan con el sistema.

Referencias

• AdminSDHolder, Grupos protegidos y SDPROP

• Los permisos delegados no están disponibles y la herencia se deshabilita automáticamente

• Cómo funcionan las entidades de seguridad