Solucionar problemas de direitos e permissões de acesso de write-back de senha
Este artigo descreve os direitos e permissões de acesso necessários na raiz do domínio, no objeto do usuário e no contêiner Builtin no Active Directory. Ele também discute os seguintes itens:
- Políticas de grupo de domínio necessárias
- Como identificar a conta do conector do AD DS (Active Directory Domain Services) que Microsoft Entra Connect usa
- Como marcar permissões existentes nessa conta
- Como evitar problemas de replicação
Essas informações podem ajudá-lo a solucionar problemas específicos que envolvem write-back de senha.
Identificar a conta do Conector do AD DS
Antes de marcar para permissões de writeback de senha, verifique a conta atual do Conector do AD DS (também conhecida como conta MSOL_) no Microsoft Entra Connect. Verificar essa conta ajuda você a evitar tomar as etapas erradas durante a solução de problemas de writeback de senha.
Para identificar a conta do Conector do AD DS:
Abra o Gerenciador de Serviço de Sincronização. Para fazer isso, selecione Iniciar, insira Microsoft Entra Conectar, selecione Microsoft Entra Conectar nos resultados da pesquisa e selecione Serviço de Sincronização.
Selecione a guia Conectores e selecione o conector do Active Directory aplicável. No painel Ações , selecione Propriedades para abrir a caixa de diálogo Propriedades .
No painel esquerdo da janela Propriedades , selecione Conectar-se à Floresta do Active Directory e copie o nome da conta que aparece como Nome de usuário.
Verificar as permissões existentes da conta do Conector do AD DS
Para definir as permissões corretas do Active Directory para writeback de senha, use o módulo interno do ADSyncConfig PowerShell. O módulo ADSyncConfig inclui um método para definir permissões para writeback de senha usando o cmdlet Set-ADSyncPasswordWritebackPermissions .
Para marcar se a conta do Conector do AD DS (ou seja, a conta MSOL_) tem as permissões corretas para um usuário específico, use uma das seguintes ferramentas:
- Usuários e Computadores do Active Directory snap-in no MMC (Console de Gerenciamento da Microsoft)
- Prompt de comando
- PowerShell
Snap-in de Usuários e Computadores do Active Directory
Use o snap-in do MMC para Usuários e Computadores do Active Directory. Siga estas etapas:
Selecione Iniciar, insira dsa.msc e selecione o snap-in Usuários e Computadores do Active Directory nos resultados da pesquisa.
Selecione Exibir>Recursos Avançados.
Na árvore do console, localize e selecione a conta de usuário para a qual você deseja marcar as permissões. Em seguida, selecione o ícone Propriedades .
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança e selecione o botão Avançado .
Na caixa de diálogo Configurações de Segurança Avançada para a conta, selecione a guia Permissões Efetivas . Em seguida, na seção Grupo ou nome de usuário , selecione o botão Selecionar.
Na caixa de diálogo Selecionar Usuário, Computador ou Grupo , selecione Localizar>Avançado Agora para mostrar a lista de seleção. Na caixa de resultados Pesquisa, selecione o nome da conta MSOL_.
Selecione OK duas vezes para retornar à guia Permissões Efetivas na caixa de diálogo Configurações de Segurança Avançada . Agora, você pode exibir a lista de permissões efetivas para a conta MSOL_ atribuída à conta de usuário. A lista das permissões padrão necessárias para writeback de senha é mostrada na seção Permissões necessárias no objeto do usuário neste artigo.
Prompt de comando
Use o comando dsacls para exibir as listas de controle de acesso (ACLs ou permissões) da conta do Conector do AD DS. O comando a seguir armazena a saída de comando em um arquivo de texto, embora você possa modificá-la para exibir a saída no console:
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Você pode usar esse método para analisar as permissões de qualquer objeto do Active Directory. No entanto, não é útil comparar permissões entre objetos porque a saída de texto não está classificada.
PowerShell
Use o cmdlet Get-Acl para obter as permissões da conta do Conector do AD DS e armazene a saída como um arquivo XML usando o cmdlet Export-Clixml , da seguinte maneira:
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
O método do PowerShell é útil para análise offline. Ele permite importar o arquivo usando o cmdlet Import-Clixml . Ele também mantém a estrutura original da ACL e suas propriedades. Você pode usar esse método para analisar as permissões de qualquer objeto do Active Directory.
Evitar problemas de replicação ao corrigir permissões
Quando você corrige permissões do Active Directory, as alterações no Active Directory podem não entrar em vigor imediatamente. As permissões do Active Directory também estão sujeitas a replicações em toda a floresta da mesma maneira que os objetos do Active Directory. Como você atenua os problemas ou atrasos de replicação do Active Directory? Você define um controlador de domínio preferencial no Microsoft Entra Connect e trabalha apenas nesse controlador de domínio para quaisquer alterações. Ao usar o snap-in Usuários e Computadores do Active Directory, clique com o botão direito do mouse na raiz do domínio na árvore do console, selecione o item de menu Alterar Controlador de Domínio e escolha o mesmo controlador de domínio preferencial.
Para obter uma sanidade rápida marcar no Active Directory, execute o controlador de domínio diagnóstico usando o comando dcdiag. Em seguida, execute o comando repadmin/replsummary para exibir um resumo dos problemas de replicação. Os comandos a seguir armazenam a saída de comando para arquivos de texto, embora você possa modificá-los para exibir a saída no console:
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Permissões necessárias na raiz de domínio do Active Directory
Esta seção descreve as permissões esperadas do Active Directory para writeback de senha na raiz de domínio do Active Directory. Não confunda essa raiz com a raiz da floresta do Active Directory. Uma floresta pode ter vários domínios do Active Directory. Cada domínio deve ter as permissões corretas definidas em sua própria raiz, para que o writeback de senha possa funcionar para os usuários nesse domínio.
Você pode exibir as permissões existentes do Active Directory nas propriedades de segurança da raiz do domínio. Siga estas etapas:
Abra o snap-in Usuários e Computadores do Active Directory.
Na árvore de console, localize e selecione a raiz de domínio do Active Directory e selecione o ícone Propriedades .
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança .
Cada uma das subseções a seguir contém uma tabela de permissões padrão raiz de domínio. Esta tabela mostra as entradas de permissão necessárias para o grupo ou nome de usuário que está no título de subseção. Para exibir e modificar as entradas de permissão atuais para corresponder aos requisitos de cada grupo ou nome de usuário, siga estas etapas para cada subseção:
Na guia Segurança , selecione o botão Avançado para exibir a caixa de diálogo Configurações avançadas de segurança . A guia Permissões mostra a lista atual de permissões raiz de domínio para cada identidade do Active Directory (Principal).
Compare a lista de permissões atuais com a lista de permissões padrão para cada identidade do Active Directory (Principal).
Se necessário, selecione Adicionar para adicionar entradas de permissão necessárias que estão ausentes na lista atual. Ou selecione uma entrada de permissão e selecione Editar para modificar essa entrada para atender ao requisito. Repita esta etapa até que as entradas de permissão atuais correspondam à tabela de subseção.
Selecione OK para aceitar as alterações na caixa de diálogo Configurações de Segurança Avançada e retornar à caixa de diálogo Propriedades .
Observação
As permissões na raiz de domínio do Active Directory não são herdadas de nenhum contêiner pai.
Permissões padrão raiz para a conta do Conector do AD DS (Permitir)
| Permissão | Aplicar a |
|---|---|
| Redefinir senha | Objetos do usuário descendente |
| (em branco) | Objetos msDS-Device descendentes |
| Replicando alterações de diretório | Apenas este objeto |
| Replicando alterações de diretório tudo | Apenas este objeto |
| Ler todas as propriedades | Objetos publicFolder descendentes |
| Ler/gravar todas as propriedades | Objetos Descendentes do InetOrgPerson |
| Ler/gravar todas as propriedades | Objetos do Grupo Descendente |
| Ler/gravar todas as propriedades | Objetos do usuário descendente |
| Ler/gravar todas as propriedades | Objetos de contato descendente |
Permissões padrão raiz para usuários autenticados (permitir)
| Permissão | Aplicar a |
|---|---|
| Habilitar por usuário senha criptografada reversivelmente | Apenas este objeto |
| Senha unexpire | Apenas este objeto |
| Atualizar a senha não necessária bit | Apenas este objeto |
| Especial | Apenas este objeto |
| (em branco) | Este objeto e todos os objetos descendentes |
Permissões padrão raiz para Todos (Negar + Permitir)
| Tipo | Permissão | Aplicar a |
|---|---|---|
| Negar | Excluir todos os objetos filho | Apenas este objeto |
| Permitir | Ler todas as propriedades | Apenas este objeto |
Permissões padrão raiz para acesso compatível pré-Windows 2000 (Permitir)
| Permissão | Aplicar a |
|---|---|
| Especial | Objetos Descendentes do InetOrgPerson |
| Especial | Objetos do Grupo Descendente |
| Especial | Objetos do usuário descendente |
| Especial | Apenas este objeto |
| Conteúdo da lista | Este objeto e todos os objetos descendentes |
Permissões padrão raiz para SELF (Permitir)
| Permissão | Aplicar a |
|---|---|
| (em branco) | Este objeto e todos os objetos descendentes |
| Especial | Todos os objetos descendentes |
| Gravação validada para atributos de computador | Objetos do computador descendentes |
| (em branco) | Objetos do computador descendentes |
Permissões necessárias no objeto de usuário
Esta seção descreve as permissões esperadas do Active Directory para writeback de senha no objeto de usuário de destino que precisa atualizar a senha. Para exibir as permissões de segurança existentes, siga estas etapas para mostrar as propriedades de segurança do objeto do usuário:
Retorne ao snap-in Usuários e Computadores do Active Directory.
Use a árvore de console ou o item de menu Action>Find para selecionar o objeto de usuário de destino e selecione o ícone Propriedades .
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança .
Cada uma das subseções a seguir contém uma tabela de permissões padrão do usuário. Esta tabela mostra as entradas de permissão necessárias para o grupo ou nome de usuário que está no título de subseção. Para exibir e modificar as entradas de permissão atuais para corresponder aos requisitos de cada grupo ou nome de usuário, siga estas etapas para cada subseção:
Na guia Segurança , selecione o botão Avançado para exibir a caixa de diálogo Configurações avançadas de segurança .
Verifique se o botão Desabilitar Herança é exibido perto da parte inferior da caixa de diálogo. Se o botão Habilitar Herança for exibido, selecione esse botão. O recurso habilitar herança permite que todas as permissões de contêineres pai e unidades organizacionais sejam herdadas por esse objeto. Essa alteração resolve o problema.
Na guia Permissões , compare a lista de permissões atuais com a lista de permissões padrão para cada identidade do Active Directory (Principal). A guia Permissões exibe a lista atual de permissões de usuário para cada identidade do Active Directory (Principal).
Se necessário, selecione Adicionar para adicionar entradas de permissão necessárias que estão ausentes na lista atual. Ou selecione uma entrada de permissão e selecione Editar para modificar essa entrada para atender ao requisito. Repita esta etapa até que as entradas de permissão atuais correspondam à tabela de subseção.
Selecione OK para aceitar as alterações na caixa de diálogo Configurações de Segurança Avançada e retornar à caixa de diálogo Propriedades .
Observação
Ao contrário da raiz de domínio do Active Directory, as permissões necessárias para o objeto de usuário geralmente são herdadas da raiz de domínio ou de um contêiner pai ou unidade organizacional. As permissões que foram definidas diretamente no objeto indicarão uma herança de None. A herança da ACE (entrada de controle de acesso) não é importante desde que os valores nas colunas Tipo, Entidade, Acesso e Aplica-se às colunas para a permissão sejam os mesmos. No entanto, determinadas permissões só podem ser definidas na raiz do domínio. Essas entidades estão listadas nas tabelas de subseção.
Permissões padrão do usuário para a conta do Conector do AD DS (Permitir)
| Permissão | Herdado de . | Aplicar a |
|---|---|---|
| Redefinir senha | <raiz de domínio> | Objetos do usuário descendente |
| (em branco) | <raiz de domínio> | Objetos msDS-Device descendentes |
| Ler todas as propriedades | <raiz de domínio> | Objetos publicFolder descendentes |
| Ler/gravar todas as propriedades | <raiz de domínio> | Objetos Descendentes do InetOrgPerson |
| Ler/gravar todas as propriedades | <raiz de domínio> | Objetos do Grupo Descendente |
| Ler/gravar todas as propriedades | <raiz de domínio> | Objetos do usuário descendente |
| Ler/gravar todas as propriedades | <raiz de domínio> | Objetos de contato descendente |
Permissões padrão do usuário para usuários autenticados (permitir)
| Permissão | Herdado de . | Aplicar a |
|---|---|---|
| Ler informações gerais | Nenhum | Apenas este objeto |
| Ler informações públicas | Nenhum | Apenas este objeto |
| Ler informações pessoais | Nenhum | Apenas este objeto |
| Ler informações da Web | Nenhum | Apenas este objeto |
| Permissões de leitura | Nenhum | Apenas este objeto |
| Ler informações do Exchange | <raiz de domínio> | Este objeto e todos os objetos descendentes |
Permissões padrão do usuário para Todos (Permitir)
| Permissão | Herdado de . | Aplicar a |
|---|---|---|
| Alterar senha | Nenhum | Apenas este objeto |
Permissões padrão do usuário para acesso compatível pré-Windows 2000 (Permitir)
As permissões especiais nesta tabela incluem conteúdo de lista, ler todas as propriedades e direitos de permissões de leitura .
| Permissão | Herdado de . | Aplicar a |
|---|---|---|
| Especial | <raiz de domínio> | Objetos Descendentes do InetOrgPerson |
| Especial | <raiz de domínio> | Objetos do Grupo Descendente |
| Especial | <raiz de domínio> | Objetos do usuário descendente |
| Conteúdo da lista | <raiz de domínio> | Este objeto e todos os objetos descendentes |
Permissões padrão do usuário para SELF (Permitir)
As permissões especiais nesta tabela incluem somente direitos de informações privadas de leitura/gravação .
| Permissão | Herdado de . | Aplicar a |
|---|---|---|
| Alterar senha | Nenhum | Apenas este objeto |
| Enviar como | Nenhum | Apenas este objeto |
| Receber como | Nenhum | Apenas este objeto |
| Informações pessoais de leitura/gravação | Nenhum | Apenas este objeto |
| Opções de telefone e email de leitura/gravação | Nenhum | Apenas este objeto |
| Informações da Web de leitura/gravação | Nenhum | Apenas este objeto |
| Especial | Nenhum | Apenas este objeto |
| Gravação validada para atributos de computador | <raiz de domínio> | Objetos do computador descendentes |
| (em branco) | <raiz de domínio> | Objetos do computador descendentes |
| (em branco) | <raiz de domínio> | Este objeto e todos os objetos descendentes |
| Especial | <raiz de domínio> | Este objeto e todos os objetos descendentes |
Permissões necessárias no objeto do servidor SAM
Esta seção descreve as permissões esperadas do Active Directory para writeback de senha no objeto de servidor SAM (Gerenciador de Contas de Segurança) (CN=Server,CN=System,DC=Contoso,DC=com). Para localizar as propriedades de segurança do objeto sam server (samServer), siga estas etapas:
Retorne ao snap-in Usuários e Computadores do Active Directory.
Na árvore de console, localize e selecione o contêiner do Sistema .
Localize e selecione Servidor (o objeto samServer) e selecione o ícone Propriedades .
Na caixa de diálogo Propriedades do objeto, selecione a guia Segurança .
Selecione a caixa de diálogo Configurações de Segurança Avançada . A guia Permissões exibe a lista atual de permissões de objeto samServer para cada identidade do Active Directory (Principal).
Verifique se pelo menos uma das entidades de segurança a seguir está listada na entrada de controle de acesso do objeto samServer. Se apenas o Acesso Compatível pré-Windows 2000 estiver listado, verifique se usuários autenticados são membros desse grupo interno.
Permissões para acesso compatível com o Windows 2000 (Permitir)
As permissões especiais devem incluir o conteúdo list, ler todas as propriedades e direitos de permissões de leitura.
Permissões para usuários autenticados (permitir)
As permissões especiais devem incluir o conteúdo list, ler todas as propriedades e direitos de permissões de leitura.
Permissões necessárias no contêiner Builtin
Esta seção descreve as permissões esperadas do Active Directory para write-back de senha no contêiner Builtin. Para exibir as permissões de segurança existentes, siga estas etapas para acessar as propriedades de segurança do objeto interno:
Abra para o snap-in Usuários e Computadores do Active Directory.
Na árvore de console, localize e selecione o contêiner Builtin e selecione o ícone Propriedades .
Na caixa de diálogo Propriedades da conta, selecione a guia Segurança .
Selecione o botão Avançado para exibir a caixa de diálogo Configurações avançadas de segurança . A guia Permissões exibe a lista atual de permissões de contêiner Builtin para cada identidade do Active Directory (Principal).
Compare essa lista de permissões atuais com a lista de permissões de permissão necessárias para a conta MSOL_ , da seguinte maneira.
Permissão Herdado de . Aplicar a Ler/gravar todas as propriedades <raiz de domínio> Objetos Descendentes do InetOrgPerson Ler/gravar todas as propriedades <raiz de domínio> Objetos do Grupo Descendente Ler/gravar todas as propriedades <raiz de domínio> Objetos do usuário descendente Ler/gravar todas as propriedades <raiz de domínio> Objetos de contato descendente Se necessário, selecione Adicionar para adicionar entradas de permissão necessárias que estão ausentes na lista atual. Ou selecione uma entrada de permissão e selecione Editar para modificar essa entrada para atender ao requisito. Repita esta etapa até que as entradas de permissão atuais correspondam à tabela de subseção.
Selecione OK para sair da caixa de diálogo Configurações de Segurança Avançada e retornar à caixa de diálogo Propriedades .
Outras permissões necessárias do Active Directory
Nas propriedades do grupo acesso compatível com o Windows 2000 , acesse a guia Membros e verifique se usuários autenticados são membros desse grupo. Caso contrário, você poderá enfrentar problemas que afetam o write-back de senha no Microsoft Entra Connect e no Active Directory (especialmente em versões mais antigas).
Políticas de grupo de domínio necessárias
Para garantir que você tenha as políticas corretas do grupo de domínio, siga estas etapas:
Selecione Iniciar, insira secpol.msc e selecione Política de Segurança Local nos resultados da pesquisa.
Na árvore de console, em Configurações de Segurança, expanda Políticas Locais e selecione Atribuição de Direitos do Usuário.
Na lista de políticas, selecione Representar um cliente após a autenticação e selecione o ícone Propriedades .
Na caixa de diálogo Propriedades , verifique se os seguintes grupos estão listados na guia Configuração de Segurança Local :
- Administradores
- LOCAL SERVICE
- NETWORK SERVICE
- SERVICE
Para obter mais informações, consulte os valores padrão para a política Representar um cliente após a autenticação.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários