Microsoft Identity Manager 2016 – JelszókezelésMicrosoft Identity Manager 2016 Password Management

A több adatforrással rendelkező vállalati környezetek felügyeletének egyik összetett része a több felhasználói fiókhoz tartozó jelszavak kezelése.Managing passwords for multiple user accounts is one of the complexities of managing an enterprise environment with multiple data sources. A Microsoft Identity Manager 2016 (MIM) két jelszókezelési megoldást kínál:Microsoft Identity Manager 2016 (MIM) provides two password management solutions:

  • Jelszó-szinkronizálás – A jelszóváltozás-értesítési szolgáltatás használatával rögzíti az Active Directoryból származó jelszóváltozásokat, és átvezeti őket más csatlakoztatott adatforrásokba.Password synchronization – Utilizes the password change notification service (PCNS) to capture password changes from Active Directory and propagate them to other connected data sources.

  • Felhasználóalapú jelszóváltoztatás-kezelés – A Windows Management Instrumentationt (WMI) használja a webalapú ügyfélszolgálaton alapuló és önkiszolgáló jelszóváltoztatási alkalmazásokon keresztül.User-based password change management – Utilizes the Windows Management Instrumentation (WMI) through Web-based Help Desk and self-service password reset applications.

A jelszó-szinkronizálás és a felhasználóalapú jelszóváltoztatás-kezelés a következőket teszi lehetővé:By using password synchronization and user-based password change management, you can:

  • Csökkentheti azon jelszavak számát, amelyeket a felhasználóknak meg kell jegyezniük.Reduce the number of different passwords users have to remember.

  • Egy felhasználó több fiókjához egyidejűleg állíthatja be vagy módosíthatja ugyanazt a jelszót.Simultaneously set or change passwords in a user's multiple accounts to the same password.

  • Megengedheti a felhasználóknak a saját jelszavuk módosítását az Active Directoryban, és a módosítás más rendszerekbe való leküldését is lehetővé teheti.Allow users to change their own passwords in Active Directory and push the password change out to other systems.

  • Kiküszöbölheti a további jelszóadattár vagy hitelesítőadat-tár létesítésével járó kockázatokat.Eliminate the risk of building an additional password or credential store.

  • Az Active Directory mint hiteles adatforrás segítségével több adatforrás között szinkronizálhat jelszavakat.Synchronize passwords across multiple data sources by using Active Directory as the authoritative source.

  • Valós időben, a MIM-műveletektől függetlenül hajthatja végre a jelszókezelési műveleteket.Perform password management operations in real time, independent of MIM operations.

JelszóbővítményekPassword extensions

A címtárkiszolgálók kezelőügynökei alapértelmezés szerint támogatják a jelszómódosítási és jelszóbeállítási műveleteket.Management agents for directory servers support password change and set operations by default. A jelszómódosítási és jelszóbeállítási műveleteket alapértelmezés szerint nem támogató fájlalapú, adatbázis- és bővíthetőkapcsolat-kezelőügynökök számára .NET-alapú jelszóbővítmény-DLL-t (dinamikus csatolású függvénytárat) hozhat létre.For file-based, database, and extensible connectivity management agents, which do not support password change and set operations by default, you can create a .NET password extension dynamic-link library (DLL). Valahányszor ezek az ügynökök jelszómódosítási vagy jelszóbeállítási hívást kezdeményeznek, a hívást a .NET-alapú jelszóbővítmény-DLL fogadja.The .NET password extension DLL is called whenever a password change or set call is invoked for any of these management agents. Az ügynökök jelszóbővítmény-beállításainak konfigurálása a Synchronization Service Manager eszközön keresztül történik.Password extension settings are configured for these management agents in Synchronization Service Manager. A jelszóbővítmények konfigurálásáról a FIM fejlesztői leírásában talál további információt.For more information about configuring password extensions, see the FIM Developer Reference.

Az alábbi szolgáltatások kezelőügynökei alapértelmezés szerint támogatják a jelszókezelést:Password management is supported by default in the management agents for: Jelszóbővítmény használatával a következő szolgáltatások kezelőügynökei is támogatják a jelszókezelést:By using a password extension, password management is also supported in the management agents for:
Active DirectoryActive Directory Attribútum-érték párokból álló szövegfájlokAttribute-value pair text files
Active Directory Lightweight Directory-szolgáltatások (ADLDS)Active Directory Lightweight Directory Services (ADLDS) Tagolt szövegfájlokDelimited text files
IBM Directory ServerIBM Directory Server Directory Services Markup Language (DSML)Directory Services Markup Language (DSML)
Lotus NotesLotus Notes Extensible ConnectivityExtensible Connectivity
Novell eDirectoryNovell eDirectory Rögzített szélességű szövegfájlokFixed-width text files
Sun- és Netscape-címtárkiszolgálókSun and Netscape directory servers IBM DB2 Universal DatabaseIBM DB2 Universal Database
LDAP Data Interchange formátum (LDIF)LDAP Data Interchange Format (LDIF)
Microsoft SQL ServerMicrosoft SQL Server
Oracle DatabaseOracle Database

Jelszó-szinkronizálásPassword synchronization

A jelszó-szinkronizálás az Active Directory-tartományok jelszóváltozás-értesítési szolgáltatásával együttműködve lehetővé teszi, hogy az Active Directoryból származó jelszóváltozások automatikusan eljussanak a csatlakoztatott adatforrásokhoz.Password synchronization works with the password change notification service (PCNS) on an Active Directory domain, and allows password changes that originate from Active Directory to be automatically propagated to other connected data sources. A MIM úgy hajtja ezt végre, hogy egy távoli eljáráshívási kiszolgálót futtat, amely az Active Directory-tartományvezérlőktől érkező jelszóváltoztatási értesítéseket figyeli.MIM accomplishes this by running as a Remote Procedure Call (RPC) server that listens for a password change notification from an Active Directory domain controller. A jelszóváltoztatási kérelem beérkezése és hitelesítése után a MIM feldolgozza azt, és eljuttatja a megfelelő kezelőügynökökhöz.When the password change request is received and authenticated, it is processed by MIM and propagated to the appropriate management agents.

Fontos

A MIM nem támogatja a kétirányú jelszó-szinkronizálást.Bi-directional password synchronization is not supported by MIM. A kétirányú jelszó-szinkronizálás konfigurálása hurkot hozhat létre, amely fokozottan igénybe veszi a kiszolgáló erőforrásait, és negatívan befolyásolhatja az Active Directoryt és a MIM-et egyaránt.Configuring bi-directional password synchronization can create a loop, which will consume server resources and have a potentially negative effect on both Active Directory and MIM.

A jelszóváltozás-értesítési szolgáltatás az Active Directory minden tartományvezérlőjén fut.The PCNS runs on each Active Directory domain controller. A jelszóváltoztatási értesítést fogadó rendszert célnak nevezzük.The systems that receive the password notifications are known as targets. A MIM-kiszolgálót a jelszóváltozás-értesítési szolgáltatás céljaként kell konfigurálni az Active Directoryban, még a jelszóváltoztatási értesítések kiküldése előtt.Your MIM server must be configured as a PCNS target in Active Directory before password notifications are sent. A jelszóváltoztatás-értesítési szolgáltatás konfigurációjában meg kell adni egy belefoglalási csoportot, és igény esetén egy kizárási csoportot.The PCNS configuration must define an inclusion group and, optionally, an exclusion group. E csoportok használata korlátozza az érzékeny jelszavak kijutását a tartományból.These groups are used to restrict the flow of sensitive passwords from the domain. Például ha minden felhasználónak jelszót kíván küldeni, a rendszergazdáknak azonban nem, akkor ajánlatos a tartományi felhasználókat belefoglalási csoportként, a tartománygazdákat pedig kizárási csoportként megadnia.For example, to send passwords for all users, but not send administrative passwords, you might choose to use Domain Users as the inclusion group, and Domain Admins as the exclusion group. A jelszómódosítás konfigurálásáról a Using Password Synchronization (Jelszó-szinkronizálás használata) című cikkben talál további információt.For more information about configuring the password change notification service, see Using Password Synchronization

A jelszó-szinkronizálás folyamatában a következő összetevők kapnak szerepet:The components involved in the password synchronization process are:

  • Jelszóváltoztatás-értesítési szolgáltatás (Pcnssvc.exe) – A jelszóváltoztatás-értesítési szolgáltatás egy tartományvezérlőn fut, és az a feladata, hogy fogadja a helyi jelszószűrőtől érkező jelszóváltoztatási értesítéseket, várólistára tegye őket a MIM-et futtató célkiszolgáló számára, és távoli eljáráshívással kézbesítse őket.Password change notification service (Pcnssvc.exe)–The password change notification service runs on a domain controller and is responsible for receiving password change notifications from the local password filter, queuing them for the target server running MIM, and using RPC to deliver the notifications. A szolgáltatás titkosítja a jelszót, és gondoskodik róla, hogy az biztonságban maradjon addig, amíg sikeresen kézbesítésre kerül a MIM-et futtató célkiszolgálón.The service encrypts the password and ensures that the password remains secure until it is successfully delivered to the target server running MIM.

  • Egyszerű szolgáltatásnév (SPN) – Az SPN az Active Directory azon fiókobjektumának tulajdonsága, amelyet a Kerberos protokoll használ a jelszóváltoztatás-értesítési szolgáltatás és a cél kölcsönös hitelesítésére.Service principal name (SPN) – The SPN is a property on the account object in Active Directory that is used by the Kerberos protocol to mutually authenticate the PCNS and the target. Az SPN gondoskodik róla, hogy a jelszóváltoztatás-értesítési szolgáltatás a MIM-et futtató kiszolgálók közül csak a megfelelőt hitelesítse, és egyetlen más szolgáltatás se juthasson hozzá a jelszóváltoztatási értesítésekhez.The SPN ensures that the PCNS authenticates to the correct server running MIM, and that no other service can receive the password change notifications. Az SPN létrehozása és hozzárendelése a setspn.exe eszköz használatával történik.The SPN is created and assigned by using the setspn.exe tool. Az SPN konfigurálásáról a Jelszó-szinkronizálás használata című cikkben talál további információt.For more information about configuring the SPN, see Using Password Synchronization.

  • Jelszóváltoztatás-értesítési szűrő (Pcnsflt.dll) – A jelszószűrő használatával egyszerű szöveges jelszavak kérhetők le az Active Directoryból.Password change notification filter (Pcnsflt.dll) – The password filter is used to obtain plaintext passwords from Active Directory. Ezt a szűrőt a helyi biztonsági szervezet (LSA) tölti be minden Windows Server-tartományvezérlőre, amely részt vesz a jelszavaknak a MIM-et futtató célkiszolgálókra való eljuttatásában.This filter is loaded by the Local Security Authority (LSA) on each Windows Server domain controller participating in password distribution to a target server running MIM. A szűrő telepítése és a tartományvezérlő újraindítása után a szűrő a tartományvezérlőről származó jelszóváltozásokról jelszóváltoztatási értesítéseket kap.Once the filter has been installed and the domain controller has been restarted, the filter begins to receive password change notifications for password changes that originate on that domain controller. A jelszóértesítési szűrő a tartományvezérlőn működő többi szűrővel párhuzamosan fut.The password notification filter runs simultaneously with other filters that are running on the domain controller.

  • A jelszóváltoztatás-értesítési szolgáltatás konfigurációs segédprogramja (Pcnscfg.exe) – A pcnscfg.exe segédprogram használatával kezelhetők és karbantarthatók a jelszóváltoztatás-értesítési szolgáltatás Active Directoryban tárolt konfigurációs paraméterei.Password change notification service configuration utility (Pcnscfg.exe) – The pcnscfg.exe utility is used to manage and maintain the password change notification service configuration parameters stored within Active Directory. Ezekre a konfigurációs paraméterekre, köztük a célkiszolgálók meghatározására, a várólistás jelszavak újrapróbálkozási időközére, valamint a célkiszolgáló engedélyezésére, illetve letiltására akkor van szükség, amikor a rendszer jelszóértesítéseket küld a MIM-et futtató célkiszolgálóra.These configuration parameters, such as defining the target servers, the password queue retry interval, and enabling or disabling a target server, are used when authenticating and sending password notifications to the target server running MIM. A szolgáltatás konfigurációját az Active Directory tárolja, ezért elég egyetlen tartományvezérlőn frissíteni.The service configuration is stored in Active Directory, so it is only necessary to update the configuration on one domain controller. Az Active Directory az összes többi tartományvezérlőn replikálja a változást.Active Directory replicates the change to all other domain controllers.

  • Távoli eljáráshívási (RPC) kiszolgáló a MIM-et futtató kiszolgálón – Ha engedélyezve van a jelszó-szinkronizálás, az RPC-kiszolgáló működésbe lép a MIM-et futtató kiszolgálón, és lehetővé teszi számára, hogy értesítéseket fogadjon a jelszóváltozás-értesítési szolgáltatástól.Remote Procedure Call (RPC) server on the server running MIM – When password synchronization is enabled, the RPC server on the server running MIM is started, enabling it to receive notifications from the password change notification service. Az RPC dinamikusan választja ki a használt portok tartományát.RPC dynamically selects a range of ports to use. Ha azt szeretné, hogy a MIM tűzfalon keresztül kommunikáljon az Active Directory-erdővel, meg kell nyitnia egy porttartományt.If you require MIM to communicate with the Active Directory forest through a firewall, you must open a range of ports.

  • Jelszóbővítmény-DLL – A jelszóbővítmény-DLL segítségével a jelszóbeállítási vagy jelszóváltoztatási műveletek szabálykiterjesztéssel hajthatók végre tetszőleges adatbázis-, bővíthető kapcsolati vagy fájlalapú kezelőügynökön.Password extension DLL – The password extension DLL provides a way to implement password set or change operations by means of a rules extension for any database, extensible connectivity, or file-based management agent. Ez egy „export_password” nevű, csak exportálási, titkosított attribútum létrehozásával történik, amely ténylegesen nem létezik a kapcsolt címtárban, de a szabálykiterjesztések kiépítése esetén hozzáférhető és beállítható, vagy az attribútumfolyam exportálása során használható fel.This is accomplished by creating an export-only, encrypted attribute named "export_password" that does not actually exist in the connected directory but can be accessed and set in provisioning rules extensions or can be used during export attribute flow. A jelszóbővítmények konfigurálásáról a FIM fejlesztői leírásában talál további információt.For more information about configuring password extensions, see the FIM Developer Reference.

A jelszó-szinkronizálás előkészítésePreparing for password synchronization

Mielőtt jelszó-szinkronizálást állítana be a MIM és az Active Directory-környezet számára, győződjön meg a következőkről:Before you set up password synchronization for your MIM and Active Directory environment, verify the following:

  • A MIM a telepítési utasításoknak megfelelően telepítve van.MIM is installed according to installation instructions.

  • A jelszó-szinkronizáláshoz kezelni kívánt csatlakoztatott adatforrások kezelőügynökeit már létrehozták, továbbá folyamatban van az objektumok sikeres csatlakoztatása és szinkronizálása.Management agents for the connected data sources to be managed for password synchronization are already created and the objects are being successfully joined and synchronized.

A jelszó-szinkronizálás beállításához:To set up password synchronization:

  • Terjessze ki az Active Directory-sémát, hogy hozzáadhassa a jelszóváltoztatás-értesítési szolgáltatás telepítéséhez és futtatásához szükséges osztályokat és attribútumokat.Extend the Active Directory schema to add the classes and attributes necessary for installing and running the password change notification service (PCNS).

  • Telepítse a jelszóváltoztatás-értesítési szolgáltatást minden tartományvezérlőn.Install the PCNS on each domain controller.

  • Konfigurálja az Active Directoryban a MIM-szolgáltatásfiókhoz tartozó egyszerű szolgáltatásnevet (SPN).Configure the service principal name (SPN) in Active Directory for the MIM service account.

  • Konfigurálja a jelszóváltoztatás-értesítési szolgáltatást a célként meghatározott MIM-szolgáltatással történő kommunikációra.Configure the PCNS to communicate with the target MIM service.

  • Konfigurálja a jelszó-szinkronizálás kapcsán felügyelendő csatlakoztatott adatforrások kezelőügynökeit.Configure the management agents for the connected data sources to be managed for password synchronization.

  • Engedélyezze a jelszó-szinkronizálást a MIM-en.Enable password synchronization on MIM.

A jelszó-szinkronizálás beállításáról a Using Password Synchronization (Jelszó-szinkronizálás használata) című cikkben talál további információt.For more information about setting up password synchronization, see Using Password Synchronization.

A jelszó-szinkronizálás folyamataPassword synchronization process

Az alábbi ábrán egy Active Directory-beli tartományvezérlő által a csatlakoztatott adatforrásokhoz küldött jelszóváltoztatási kérelem szinkronizálási folyamata látható:The process of synchronizing a password change request from an Active Directory domain controller to other connected data sources is shown in the following diagram:

  1. A felhasználó a Ctrl+Alt+Del billentyűkombináció lenyomásával elindítja a jelszóváltoztatási kérelmet. A rendszer a jelszóváltoztatási kérelmet az új jelszóval együtt elküldi a legközelebbi tartományvezérlőre.The user initiates the password change request by pressing Ctrl+Alt+Del. The password change request, including the new password, is sent to the nearest domain controller.

  2. A tartományvezérlő rögzíti a jelszóváltoztatási kérelmet, és értesíti a jelszóváltoztatás-értesítési szűrőt (Pcnsflt.dll).The domain controller records the password change request and notifies the password change notification filter (Pcnsflt.dll).

  3. A jelszóváltoztatás-értesítési szűrő továbbítja a kérést a jelszóváltoztatás-értesítési szolgáltatáshoz.The password change notification filter passes the request to the password change notification service (PCNS).

  4. A jelszóváltoztatás-értesítési szolgáltatás ellenőrzi a jelszóváltoztatási kérelmet, majd a Kerberos használatával hitelesíti az egyszerű szolgáltatásnevet (SPN), és titkosított távoli eljáráshívásban továbbítja a jelszóváltoztatási kérelmet a MIM-célkiszolgálóhoz.The PCNS verifies the password change request, then authenticates the service principal name (SPN) by using Kerberos, and forwards the password change request in encrypted RPC to the MIM target server.

  5. A MIM érvényesíti a forrás-tartományvezérlőt, majd a tartománynév alapján megkeresi a tartományhoz tartozó kezelőügynököt, és a jelszóváltoztatási kérelemben található felhasználóifiók-információ segítségével megkeresi a megfelelő objektumot az összekötőtérben.MIM validates the source domain controller, then uses the domain name to locate the management agent that services that domain, and uses the user account information in the password change request to locate the corresponding object in the connector space.

  6. Az illesztési tábla információinak felhasználásával a MIM meghatározza azokat a kezelőügynököket, amelyek megkapják a jelszóváltoztatást, majd le is küldi azt nekik.By using the join table information, MIM determines the management agents that receive the password change, and pushes the password change out to them.

A jelszó-szinkronizálás biztonságaPassword synchronization security

A jelszó-szinkronizálás során a következő biztonsági intézkedések történnek:The following password synchronization security concerns have been addressed:

  • Hitelesítés a jelszó forrásától – A jelszóváltoztatási értesítés átvétele után a MIM és a forrás-tartományvezérlő is elvégzi a Kerberos-hitelesítést a címzett és a feladó érvényességének együttes ellenőrzésére.Authentication from the password source – When the password change notification is received, Kerberos authentication is done by MIM as well as the source domain controller to ensure both the recipient and sender are valid. A jelszóváltoztatási értesítés átvétele után a MIM biztosítja, hogy a hívónak fiókja legyen a hozzá tartozó tartomány tartományvezérlő-tárolójában.Upon receiving a password change notification, MIM ensures that the caller has an account in the Domain Controllers container of the domain it belongs to.

  • Nem biztonságos kapcsolódás miatt sikertelen a célként szolgáló adatforráshellyel való jelszó-szinkronizálás – Ha a kezelőügynököt csak a biztonságos kapcsolódás elfogadására konfigurálták, és nem észlel ilyet, akkor a szinkronizálás sikertelen lesz.Failed password synchronization to a target data source due to an insecure connection – If the management agent has been configured to require a secure connection but one is not detected, the synchronization fails. A szinkronizálás megtörténik, ha a kezelőügynököt a nem biztonságos kapcsolatok elfogadására is konfigurálták.Synchronization still occurs if the management agent has been configured to allow nonsecure connections. A nem biztonságos kapcsolatokat csak a járulékos kockázatok megvizsgálása és megértése után szabad engedélyezni.Allowing non-secure connections should be enabled only after examining and understanding the risks involved.

  • Biztonságos jelszótárolás – A MIM csak titkosított jelszavakat tárol, ideiglenesen.Secure storage of passwords – MIM only stores encrypted passwords temporarily. Minden jelszót, amely a jelszóváltoztatás-értesítési művelet során a MIM-hez kerül, a MIM-jelszókezelés folyamatába lépés pillanatában azonnal titkosít a rendszer.All passwords received by MIM during a password change notification operation are encrypted as soon as they enter the MIM process. Abban a pillanatban, hogy a jelszó sikeresen eljutott a céloldali csatlakoztatott adatforráshoz, a titkosítás feloldódik, és a jelszót tároló memória azonnal törlődik.The moment they are successfully sent out to the target connected data source, they are decrypted, and the memory storing the password is immediately cleared. Ha a művelet során nem sikerül írni a céloldali csatlakoztatott adatforrásba, a memória addig tárolja a titkosított jelszót, amíg az összes újrapróbálkozás le nem fut, majd törlődik.If the operation fails to write to the target connected data source, the encrypted password is stored until all retry attempts have been attempted, and then is cleared from memory.

  • Biztonságos jelszóvárólisták – A jelszóváltoztatás-értesítési szolgáltatás várólistáin tárolt jelszavak a kézbesítésig titkosítva vannak.Secure password queues – Passwords stored in PCNS password queues are encrypted until they are delivered.

A jelszó-szinkronizálási hibák utáni helyreállítás eseteiPassword synchronization error recovery scenarios

Ideális esetben valahányszor egy felhasználó jelszót módosít, a módosítás hibátlanul szinkronizálódik.Ideally, whenever a user changes a password, the change is synchronized with no errors. A MIM az alábbi forgatókönyvek szerint végez helyreállítást a leggyakoribb szinkronizálási hibák után:The following scenarios describe how MIM recovers from common synchronization errors:

  • Nem sikerült a jelszóértesítés eljuttatása az Active Directoryból a MIM-be – Ez akkor következhet be, ha a hálózat nem működik, vagy a MIM-et futtató kiszolgáló nem érhető el.Failed password notification from Active Directory to MIM – This can occur if the network is down, or if the server running MIM is unavailable. A jelszóváltoztatási értesítés helyi várólistán marad a jelszóváltoztatás-értesítési szolgáltatás tartományvezérlőjén.The password change notification remains queued locally on the domain controller by the PCNS. A jelszóváltoztatás-értesítési szolgáltatás a konfigurációjának megfelelő újrapróbálkozási időközzel ismét megkísérli az értesítést.The PCNS reattempts the notification according to its retry interval configuration.

  • Nem sikerült a jelszó szinkronizálása a céladatforrásba – Ez szintén akkor következhet be, ha a hálózat nem működik, vagy a céladatforrás nem érhető el.Failed password synchronization to a target data source – This can also occur if the network is down, or if the target data source is unavailable. A jelszóváltoztatási értesítés várólistára kerül, és a rendszer ismét megkísérli a műveletet a kezelőügynök újrapróbálkozásra és újrapróbálkozási időközökre vonatkozó konfigurációjának megfelelően.The password change notification is queued and retried according to the management agent's configuration for retry attempt and retry interval. Az újrapróbálkozásig titkosítva tárolódnak a jelszavak, és a művelet sikeres végrehajtása vagy az újrapróbálkozási korlát elérése után törlődnek.All passwords are encrypted while they are stored for retry, and deleted when the operation succeeds or the retry limits are hit.

  • MIM-et futtató üzemi tartalékkiszolgáló aktiválása a meghibásodás után – Ha a MIM-et futtató elsődleges kiszolgáló meghibásodik, a jelszó-szinkronizáláshoz konfigurálhat és a jelszómódosítás elvesztése nélkül aktiválhat egy üzemi tartalékkiszolgálót.Activating a warm standby server running MIM after a failure – In the case of the primary server running MIM failing, you can configure a warm standby server for password synchronization, and activate it with no loss of password changes. További információkért lásd a MIISactivate: Server Activation Tool (MIISactivate: Kiszolgálóaktiválási eszköz) című cikket.For more information, see MIISactivate: Server Activation Tool

Egyes, súlyosabb meghibásodások esetén akárhány újrapróbálkozás esetén sem valószínű, hogy sikerül a művelet.Some failures are serious enough that no amount of retries is likely to result in a successful operation. Ilyenkor a rendszer naplózza a hibát, és leállítja a folyamatot.In these cases, an error event is logged and the process is stopped. A következő eseményeknél nincs újrapróbálkozás:The following events are not retried:

EseményEvent SeveritySeverity LeírásDescription
69196919 InformációInformation A jelszó-szinkronizálás beállításának műveletét a rendszer nem hajtotta végre, mert az időbélyegző elavult.A password synchronization set operation was not performed because the timestamp was out of date.
69216921 HibaError A jelszó-szinkronizálás beállításának művelete nincs feldolgozva, mert a céloldali kezelőügynökön nincs engedélyezve a jelszókezelés.The password synchronization set operation was not processed because password management is not enabled on the target management agent.
69226922 HibaError A jelszó-szinkronizálás beállításának művelete nincs feldolgozva, mert a céloldali kezelőügynökön nincs konfigurálva a jelszókezelés.The password synchronization set operation was not processed because password management is not configured on the target management agent.
69236923 FigyelmeztetésWarning A jelszó-szinkronizálás beállításának művelete nincs feldolgozva, mert a céloldali összekötőtér objektuma nem található a csatlakoztatott címtárban.The password synchronization set operation was not processed because the target connector space object could not be found in the connected directory.
69276927 HibaError A jelszó-szinkronizálás beállításának művelete nem sikerült, mert a jelszó nem felel meg a célrendszer jelszószabályzatának.The password synchronization set operation failed because the password does not satisfy the password policy of the target system.
69286928 HibaError A jelszó-szinkronizálás beállításának művelete nem sikerült, mert a céloldali kezelőügynök jelszókiterjesztése nincs konfigurálva a jelszóbeállítási műveletek támogatására.The password synchronization set operation failed because the password extension for the target management agent is not configured to support password set operations.

Felhasználóalapú jelszóváltoztatás-kezelésUser-based password change management

A MIM két webalkalmazást kínál az új jelszavak Windows Management Instrumentation (WMI) használatával való kéréséhez.MIM provides two web applications that use Windows Management Instrumentation (WMI) for resetting passwords. Ahogy a jelszó-szinkronizálásnál, itt is akkor aktiválhatja a jelszókezelést, amikor a kezelőügynök-tervezőben konfigurálja a kezelőügynököt.As with password synchronization, you activate password management when you configure the management agent in Management Agent Designer. A jelszókezelésről és a WMI-ről a MIM fejlesztői leírásában talál további információt.For information about password management and WMI, see the MIM Developer Reference.

A telepítés során a MIM két biztonsági csoportot hoz létre kifejezetten a jelszókezelési műveletek támogatására:MIM creates two security groups during installation that specifically support password management operations:

  • FIMSyncBrowse – E csoport tagjai számára a WMI-lekérdezésekkel történő keresési műveletek során engedélyezett az információgyűjtés a felhasználó fiókjairól.FIMSyncBrowse—Members of this group have permission to gather information about a user's accounts when doing search operations with WMI queries.

  • FIMSyncPasswordSet – E csoport tagjai számára engedélyezettek a fiókkeresési, jelszóbeállítási és jelszómódosítási műveletek, amikor a WMI-vel használják a jelszókezelési felületet.FIMSyncPasswordSet—Members of this group have permission to perform account search, password set, and password change operations using the password management interfaces with WMI.