Microsoft Identity Manager 2016 Parola YönetimiMicrosoft Identity Manager 2016 Password Management

Birden fazla kullanıcı hesabı için parolaları yönetmek, birden fazla veri kaynağı olan kurumsal bir ortamı yönetmenin karmaşıklıklarından biridir.Managing passwords for multiple user accounts is one of the complexities of managing an enterprise environment with multiple data sources. Microsoft Identity Manager 2016 (MIM) iki parola yönetimi çözümü sağlar:Microsoft Identity Manager 2016 (MIM) provides two password management solutions:

  • Parola eşitleme - Active Directory'den parola değişiklikleri yakalamak ve bunları diğer bağlı veri kaynaklarına yaymak için parola değiştirme bildirim hizmetini (PCNS) kullanır.Password synchronization – Utilizes the password change notification service (PCNS) to capture password changes from Active Directory and propagate them to other connected data sources.

  • Kullanıcı tabanlı parola değişikliği yönetimi - Web Tabanlı Yardım Masası ve self servis parola sıfırlama uygulamaları aracılığıyla Windows Yönetim Araçları'nı (WMI) kullanır.User-based password change management – Utilizes the Windows Management Instrumentation (WMI) through Web-based Help Desk and self-service password reset applications.

Parola eşitleme ve kullanıcı tabanlı parola değiştirme yönetimi kullanarak şunları yapabilirsiniz:By using password synchronization and user-based password change management, you can:

  • Kullanıcıların hatırlamaları gereken farklı parola sayısını azaltabilirsiniz.Reduce the number of different passwords users have to remember.

  • Bir kullanıcının birden fazla hesabındaki parolaları aynı parolaya eşzamanlı olarak ayarlayabilir veya değiştirebilirsiniz.Simultaneously set or change passwords in a user's multiple accounts to the same password.

  • Kullanıcıların Active Directory'de kendi parolalarını değiştirmesine ve parola değişimini diğer sistemlere göndermesine izin verebilirsiniz.Allow users to change their own passwords in Active Directory and push the password change out to other systems.

  • Ek bir parola veya kimlik bilgisi deposu oluşturma riskini ortadan kaldırabilirsiniz.Eliminate the risk of building an additional password or credential store.

  • Active Directory'yi yetkili kaynak olarak kullanarak birden fazla veri kaynağındaki parolaları eşitleyebilirsiniz.Synchronize passwords across multiple data sources by using Active Directory as the authoritative source.

  • Parola yönetimi işlemlerini gerçek zamanlı ve MIM işlemlerinden bağımsız olarak gerçekleştirebilirsiniz.Perform password management operations in real time, independent of MIM operations.

Parola uzantılarıPassword extensions

Dizin sunucuları için yönetim aracıları, parola değişimini destekler ve işlemleri varsayılan olarak ayarlar.Management agents for directory servers support password change and set operations by default. Parola değişikliğini desteklemeyen ve işlemleri varsayılan olarak ayarlayan dosya tabanlı, veritabanı ve genişletilebilir bağlantı yönetimi aracıları için bir .NET parola uzantısı dinamik bağlantı kitaplığı (DLL) oluşturabilirsiniz.For file-based, database, and extensible connectivity management agents, which do not support password change and set operations by default, you can create a .NET password extension dynamic-link library (DLL). .NET parola uzantısı DLL, bu yönetim aracılarından herhangi biri için bir parola değişikliği veya küme çağrısı yapıldığında çağrılır.The .NET password extension DLL is called whenever a password change or set call is invoked for any of these management agents. Parola uzantısı ayarları, Eşitleme Hizmeti Yöneticisi'nde bu yönetim aracıları için yapılandırılmıştır.Password extension settings are configured for these management agents in Synchronization Service Manager. Parola uzantılarını yapılandırmayla ilgili daha fazla bilgi için bkz. FIM Geliştirici Başvurusu.For more information about configuring password extensions, see the FIM Developer Reference.

Parola yönetimi varsayılan olarak yönetim aracılarında şunlar için desteklenir:Password management is supported by default in the management agents for: Bir parola uzantısı kullanarak, parola yönetimi ayrıca yönetim aracılarında şunlar için de desteklenir:By using a password extension, password management is also supported in the management agents for:
Active DirectoryActive Directory Öznitelik değer çifti metin dosyasıAttribute-value pair text files
Active Directory Basit Dizin Hizmetleri (ADLDS)Active Directory Lightweight Directory Services (ADLDS) Sınırlandırılmış metin dosyalarıDelimited text files
IBM Directory ServerIBM Directory Server Dizin Hizmetleri Biçimlendirme Dili (DSML)Directory Services Markup Language (DSML)
Lotus NotesLotus Notes Genişletilebilir BağlantıExtensible Connectivity
Novell eDirectoryNovell eDirectory Sabit genişlikte metin dosyalarıFixed-width text files
Sun ve Netscape dizin sunucularıSun and Netscape directory servers IBM DB2 Evrensel VeritabanıIBM DB2 Universal Database
LDAP Veri Değişim Biçimi (LDIF)LDAP Data Interchange Format (LDIF)
Microsoft SQL ServerMicrosoft SQL Server
Oracle VeritabanıOracle Database

Parola eşitlemePassword synchronization

Parola eşitlemesi, bir Active Directory etki alanındaki parola değiştirme bildirim hizmeti (PCNS) ile birlikte çalışır ve Active Directory'den gelen parola değişikliklerinin otomatik olarak diğer bağlı veri kaynaklarına yayılmasına izin verir.Password synchronization works with the password change notification service (PCNS) on an Active Directory domain, and allows password changes that originate from Active Directory to be automatically propagated to other connected data sources. MIM bunu bir Active Directory etki alanı denetleyicisinden bir parola değişikliği bildirimini dinleyen bir Uzaktan Yordam Çağrısı (RPC) sunucusu çalıştırarak gerçekleştirir.MIM accomplishes this by running as a Remote Procedure Call (RPC) server that listens for a password change notification from an Active Directory domain controller. Parola değiştirme isteği alındığında ve doğrulandığında, MIM tarafından işlenir ve uygun yönetim aracılarına dağıtılır.When the password change request is received and authenticated, it is processed by MIM and propagated to the appropriate management agents.

Önemli

Çift yönlü parola eşitleme MIM tarafından desteklenmez.Bi-directional password synchronization is not supported by MIM. Çift yönlü parola eşitlemeyi yapılandırmak, sunucu kaynaklarını tüketen ve hem Active Directory hem de MIM üzerinde olumsuz bir etkiye sahip olacak bir döngü oluşturabilir.Configuring bi-directional password synchronization can create a loop, which will consume server resources and have a potentially negative effect on both Active Directory and MIM.

PCNS, her Active Directory etki alanı denetleyicisinde çalışır.The PCNS runs on each Active Directory domain controller. Parola bildirimlerini alan sistemler hedefler olarak bilinir.The systems that receive the password notifications are known as targets. Parola bildirimleri gönderilmeden önce MIM sunucunuz Active Directory'de bir PCNS hedefi olarak yapılandırılmış olmalıdır.Your MIM server must be configured as a PCNS target in Active Directory before password notifications are sent. PCNS yapılandırması, bir dahil etme grubu ve isteğe bağlı olarak bir hariç tutma grubu tanımlamalıdır.The PCNS configuration must define an inclusion group and, optionally, an exclusion group. Bu gruplar, hassas parolaların etki alanından akışını kısıtlamak için kullanılır.These groups are used to restrict the flow of sensitive passwords from the domain. Örneğin, tüm kullanıcılar için parolalar göndermek ancak yönetim parolaları göndermemek için dahil etme grubu olarak Etki Alanı Kullanıcıları’nı, hariç tutma grubu olarak Etki Alanı Yöneticileri’ni seçebilirsiniz.For example, to send passwords for all users, but not send administrative passwords, you might choose to use Domain Users as the inclusion group, and Domain Admins as the exclusion group. Parola değiştirme bildirim hizmetini yapılandırma hakkında daha fazla bilgi için bkz. Parola Eşitlemeyi KullanmaFor more information about configuring the password change notification service, see Using Password Synchronization

Parola eşitleme işlemindeki bileşenler şunlardır:The components involved in the password synchronization process are:

  • Parola değiştirme bildirim hizmeti (Pcnssvc.exe)–Parola değiştirme bildirim hizmeti bir etki alanı denetleyicisinde çalışır ve yerel parola filtresinden parola değişikliği bildirimlerini almak, bunları MIM çalıştıran hedef sunucu için kuyruğa koymak ve bildirimleri sağlamak için RPC'yi kullanmakla yükümlüdür.Password change notification service (Pcnssvc.exe)–The password change notification service runs on a domain controller and is responsible for receiving password change notifications from the local password filter, queuing them for the target server running MIM, and using RPC to deliver the notifications. Hizmet parolayı şifreler ve MIM çalıştıran hedef sunucuya başarıyla teslim edilene kadar parolanın güvende kalmasını sağlar.The service encrypts the password and ensures that the password remains secure until it is successfully delivered to the target server running MIM.

  • Hizmet asıl adı (SPN) – SPN, Kerberos protokolü tarafından karşılıklı olarak PCNS'leri ve hedefin kimlik doğrulaması için kullanılan Active Directory'deki hesap nesnesinde bulunan bir özelliktir.Service principal name (SPN) – The SPN is a property on the account object in Active Directory that is used by the Kerberos protocol to mutually authenticate the PCNS and the target. SPN, PCNS'in MIM çalıştıran doğru sunucu kimliğini doğrulamasını ve başka hiçbir hizmetin parola değiştirme bildirimlerini alamamasını sağlar.The SPN ensures that the PCNS authenticates to the correct server running MIM, and that no other service can receive the password change notifications. SPN, setspn.exe aracı kullanılarak oluşturulur ve atanır.The SPN is created and assigned by using the setspn.exe tool. SPN’yi yapılandırma hakkında daha fazla bilgi için bkz. Parola Eşitlemeyi Kullanma.For more information about configuring the SPN, see Using Password Synchronization.

  • Parola değiştirme bildirimi filtresi (Pcnsflt.dll) – Parola filtresi Active Directory'den düz metin parolalar elde etmek için kullanılır.Password change notification filter (Pcnsflt.dll) – The password filter is used to obtain plaintext passwords from Active Directory. Bu filtre, MIM çalıştıran bir hedef sunucuya parola dağıtımına katılan her Windows Server etki alanı denetleyicisinde Yerel Güvenlik Yetkilisi (LSA) tarafından yüklenir.This filter is loaded by the Local Security Authority (LSA) on each Windows Server domain controller participating in password distribution to a target server running MIM. Filtre yüklendikten ve etki alanı denetleyicisi yeniden başlatıldıktan sonra, filtre, bu etki alanı denetleyicisinden kaynaklanan parola değişiklikleri için parola değişikliği bildirimlerini almaya başlar.Once the filter has been installed and the domain controller has been restarted, the filter begins to receive password change notifications for password changes that originate on that domain controller. Parola bildirim filtresi, etki alanı denetleyicisinde çalışan diğer filtrelerle aynı anda çalışır.The password notification filter runs simultaneously with other filters that are running on the domain controller.

  • Parola değiştirme bildirim hizmetini yapılandırma yardımcı programı (Pcnscfg.exe) – pcnscfg.exe yardımcı programı Active Directory içinde depolanan parola değiştirme bildirim hizmeti yapılandırma parametrelerini yönetmek ve korumak için kullanılır.Password change notification service configuration utility (Pcnscfg.exe) – The pcnscfg.exe utility is used to manage and maintain the password change notification service configuration parameters stored within Active Directory. Kimlik doğrulaması yaparken ve MIM çalıştıran hedef sunucuya parola bildirimlerini gönderirken, hedef sunucuları tanımlama, parola kuyruğu yeniden deneme aralığı ve bir hedef sunucuyu etkinleştirme veya devre dışı bırakma gibi işlemler içeren bu yapılandırma parametreleri kullanılır.These configuration parameters, such as defining the target servers, the password queue retry interval, and enabling or disabling a target server, are used when authenticating and sending password notifications to the target server running MIM. Hizmet yapılandırması Active Directory'de saklanır, bu nedenle yapılandırmayı yalnızca bir etki alanı denetleyicisinde güncelleştirmek gerekir.The service configuration is stored in Active Directory, so it is only necessary to update the configuration on one domain controller. Active Directory, değişikliği tüm diğer etki alanı denetleyicilerine çoğaltır.Active Directory replicates the change to all other domain controllers.

  • **MIM çalıştıran sunucuda Uzaktan Yordam Çağrısı (RPC) sunucusu ** – Parola eşitlemesi etkinleştirildiğinde, MIM çalıştıran sunucudaki RPC sunucusu başlatılır, böylece parola değiştirme bildirim hizmetinden bildirimler alabilir.Remote Procedure Call (RPC) server on the server running MIM – When password synchronization is enabled, the RPC server on the server running MIM is started, enabling it to receive notifications from the password change notification service. RPC kullanılacak bağlantı noktası aralıklarını dinamik olarak seçer.RPC dynamically selects a range of ports to use. MIM'in bir güvenlik duvarı üzerinden Active Directory ormanı ile iletişim kurmasını istiyorsanız, bir bağlantı noktası aralığı açmanız gerekir.If you require MIM to communicate with the Active Directory forest through a firewall, you must open a range of ports.

  • Parola uzantısı DLL - Parola uzantısı DLL, herhangi bir veritabanı, genişletilebilir bağlantı veya dosya tabanlı yönetim aracı için kurallar uzantısı yoluyla parola ayarlama veya değiştirme işlemlerini gerçekleştirmenin bir yolunu sağlar.Password extension DLL – The password extension DLL provides a way to implement password set or change operations by means of a rules extension for any database, extensible connectivity, or file-based management agent. Bu, yalnızca bağlantılı dizinde mevcut olmayan, ancak sağlama kuralları uzantılarında erişilebilen ve ayarlanabilen veya dışarı aktarma öznitelik akışında kullanılabilen "export_password" adlı, sadece dışarı aktarılabilen şifreli bir öznitelik oluşturularak gerçekleştirilir.This is accomplished by creating an export-only, encrypted attribute named "export_password" that does not actually exist in the connected directory but can be accessed and set in provisioning rules extensions or can be used during export attribute flow. Parola uzantılarını yapılandırmayla ilgili daha fazla bilgi için bkz. FIM Geliştirici Başvurusu.For more information about configuring password extensions, see the FIM Developer Reference.

Parola eşitlemeye hazırlanmaPreparing for password synchronization

MIM ve Active Directory ortamınız için parola eşitlemeyi ayarlamadan önce aşağıdakileri doğrulayın:Before you set up password synchronization for your MIM and Active Directory environment, verify the following:

  • MIM, yükleme yönergelerine göre yüklenir.MIM is installed according to installation instructions.

  • Parola eşitleme için yönetilecek bağlı veri kaynakları için yönetim aracıları zaten oluşturulmuş, nesneler başarıyla katılmış ve eşitlenmiştir.Management agents for the connected data sources to be managed for password synchronization are already created and the objects are being successfully joined and synchronized.

Parola eşitlemeyi ayarlamak için:To set up password synchronization:

  • Parola değiştirme bildirim hizmetini (PCNS) yüklemek ve çalıştırmak için gereken sınıfları ve öznitelikleri eklemek için Active Directory şemasını genişletin.Extend the Active Directory schema to add the classes and attributes necessary for installing and running the password change notification service (PCNS).

  • PCNS’i her etki alanı denetleyicisine yükleyin.Install the PCNS on each domain controller.

  • MIM hizmeti hesabı için Active Directory'de hizmet asıl adı (SPN) yapılandırın.Configure the service principal name (SPN) in Active Directory for the MIM service account.

  • Hedef MIM hizmeti ile iletişim kurmak için PCNS’i yapılandırın.Configure the PCNS to communicate with the target MIM service.

  • Parola eşitlemesi için yönetilecek bağlı veri kaynakları için yönetim aracılarını yapılandırın.Configure the management agents for the connected data sources to be managed for password synchronization.

  • MIM’de parola eşitlemeyi etkinleştirin.Enable password synchronization on MIM.

Parola eşitlemeyi ayarlama hakkında daha fazla bilgi için bkz. Parola Eşitlemeyi Kullanma.For more information about setting up password synchronization, see Using Password Synchronization.

Parola eşitleme işlemiPassword synchronization process

Bir Active Directory etki alanı denetleyicisindeki parola değiştirme isteğini diğer bağlı veri kaynaklarıyla eşitleme işlemi aşağıdaki diyagramda gösterilmektedir:The process of synchronizing a password change request from an Active Directory domain controller to other connected data sources is shown in the following diagram:

  1. Kullanıcı, Ctrl + Alt + Del tuşlarına basarak parola değiştirme isteğini başlatır. Yeni parola dahil olmak üzere parola değiştirme isteği, en yakın etki alanı denetleyicisine gönderilir.The user initiates the password change request by pressing Ctrl+Alt+Del. The password change request, including the new password, is sent to the nearest domain controller.

  2. Etki alanı denetleyicisi, parola değişikliği isteğini kaydeder ve parola değişikliği bildirim filtresine (Pcnsflt.dll) bildirir.The domain controller records the password change request and notifies the password change notification filter (Pcnsflt.dll).

  3. Parola değiştirme bildirim filtresi, isteği parola değiştirme bildirim hizmetine (PCNS) iletir.The password change notification filter passes the request to the password change notification service (PCNS).

  4. PCNS, parola değişikliği isteğini doğrular, daha sonra Kerberos'u kullanarak hizmet asıl adı (SPN) kimliğini doğrular ve şifrelenmiş RPC'deki parola değişikliği isteğini MIM hedef sunucusuna iletir.The PCNS verifies the password change request, then authenticates the service principal name (SPN) by using Kerberos, and forwards the password change request in encrypted RPC to the MIM target server.

  5. MIM, kaynak etki alanı denetleyicisini doğrular, sonra bu etki alanına hizmet eden yönetim aracısını bulmak için etki alanı adını kullanır ve bağlayıcı alanında buna karşılık gelen nesneyi bulmak için parola değiştirme isteğindeki kullanıcı hesabı bilgilerini kullanır.MIM validates the source domain controller, then uses the domain name to locate the management agent that services that domain, and uses the user account information in the password change request to locate the corresponding object in the connector space.

  6. Birleşim tablosu bilgilerini kullanarak, MIM, parola değişikliğini alan yönetim aracılarını belirler ve parola değişimini onlara gönderir.By using the join table information, MIM determines the management agents that receive the password change, and pushes the password change out to them.

Parola eşitleme güvenliğiPassword synchronization security

Aşağıdaki parola eşitleme güvenlik konuları ele alınmıştır:The following password synchronization security concerns have been addressed:

  • Parola kaynağından kimlik doğrulama - Parola değişikliği bildirimi alındığında, hem alıcının hem de gönderenin geçerli olduğundan emin olmak için kaynak etki alanı denetleyicisi ve MIM tarafından Kerberos kimlik doğrulaması yapılır.Authentication from the password source – When the password change notification is received, Kerberos authentication is done by MIM as well as the source domain controller to ensure both the recipient and sender are valid. Bir parola değiştirme bildirimi aldıktan sonra, MIM, arayanın ait olduğu etki alanın Etki Alanı Denetleyicileri kapsayıcısında bir hesabı olduğundan emin olur.Upon receiving a password change notification, MIM ensures that the caller has an account in the Domain Controllers container of the domain it belongs to.

  • Güvensiz bir bağlantı nedeniyle bir hedef veri kaynağı ile başarısız parola eşitleme - Yönetim aracısı güvenli bir bağlantıya ihtiyaç duyacak şekilde yapılandırılmış, ancak güvenli bağlantı algılanmamışsa eşitleme işlemi başarısız olur.Failed password synchronization to a target data source due to an insecure connection – If the management agent has been configured to require a secure connection but one is not detected, the synchronization fails. Yönetim aracı, güvenli olmayan bağlantılara izin vermek üzere yapılandırılmışsa eşitleme gerçekleşir.Synchronization still occurs if the management agent has been configured to allow nonsecure connections. Güvenli olmayan bağlantılara izin verilmesi, yalnızca ilgili riskler incelendikten ve anlaşıldıktan sonra etkinleştirilmelidir.Allowing non-secure connections should be enabled only after examining and understanding the risks involved.

  • Parolaların güvenli bir şekilde depolanması - MIM, şifreli parolaları yalnızca geçici olarak saklar.Secure storage of passwords – MIM only stores encrypted passwords temporarily. Parola değiştirme bildirimi işlemi sırasında MIM tarafından alınan tüm parolalar MIM işlemine girer girmez şifrelenir.All passwords received by MIM during a password change notification operation are encrypted as soon as they enter the MIM process. Hedefin bağlı olduğu veri kaynağına başarılı bir şekilde gönderildikleri andan itibaren şifre çözülür ve parolayı depolayan bellek hemen temizlenir.The moment they are successfully sent out to the target connected data source, they are decrypted, and the memory storing the password is immediately cleared. Hedefe bağlı veri kaynağına yazma işlemi başarısız olursa şifreli parola, tüm yeniden deneme girişimleri deneninceye kadar saklanır ve ardından bellekten silinir.If the operation fails to write to the target connected data source, the encrypted password is stored until all retry attempts have been attempted, and then is cleared from memory.

  • Güvenli parola kuyrukları - PCNS parola kuyruklarında saklanan parolalar teslim edilinceye kadar şifrelenir.Secure password queues – Passwords stored in PCNS password queues are encrypted until they are delivered.

Parola eşitleme hatasından kurtarma senaryolarıPassword synchronization error recovery scenarios

İdeal olarak, bir kullanıcı parola değiştirdiğinde, değişiklik hata olmaksızın eşitlenir.Ideally, whenever a user changes a password, the change is synchronized with no errors. Aşağıdaki senaryolarda, MIM'in ortak eşitleme hatalarından nasıl kurtarıldığı açıklanmaktadır:The following scenarios describe how MIM recovers from common synchronization errors:

  • Active Directory’den MIM’e başarısız parola bildirimi – Bu durum ağ kapalıysa veya MIM çalıştıran sunucu kullanılamıyorsa oluşabilir.Failed password notification from Active Directory to MIM – This can occur if the network is down, or if the server running MIM is unavailable. Parola değiştirme bildirimi, etki alanı denetleyicisinde PCNS tarafından yerel olarak kuyruğa alınır.The password change notification remains queued locally on the domain controller by the PCNS. PCNS, yeniden deneme aralığı yapılandırmasına göre bildirimi tekrar dener.The PCNS reattempts the notification according to its retry interval configuration.

  • Hedef veri kaynağı ile parola eşitlemenin başarısız olması Ağ kapalıysa veya hedef veri kaynağı kullanılamıyorsa da bu durum oluşabilir.Failed password synchronization to a target data source – This can also occur if the network is down, or if the target data source is unavailable. Yönetim aracısının yeniden deneme girişimi ve yeniden deneme aralığı yapılandırmasına göre parola değiştirme bildirimi kuyruğa alınır ve yeniden denenir.The password change notification is queued and retried according to the management agent's configuration for retry attempt and retry interval. Tüm parolalar tekrar denenmek üzere saklanırken şifrelenir ve işlem başarıyla tamamlandığında veya yeniden deneme sınırlarına gelindiğinde silinir.All passwords are encrypted while they are stored for retry, and deleted when the operation succeeds or the retry limits are hit.

  • Hata sonrası MIM çalıştıran bir yarı etkin bekleyen sunucuyu etkinleştirme - MIM çalıştıran birincil sunucu hata veriyorsa, parola eşitleme için bir yarı etkin bekleyen sunucuyu yapılandırabilir ve bunu parola değişikliklerini kaybetmeden etkinleştirebilirsiniz.Activating a warm standby server running MIM after a failure – In the case of the primary server running MIM failing, you can configure a warm standby server for password synchronization, and activate it with no loss of password changes. Daha fazla bilgi için bkz. MIISactivate: Sunucu Etkinleştirme AracıFor more information, see MIISactivate: Server Activation Tool

Bazı hatalar, tüm yeniden denemelerin başarısızlıkla sonuçlanabileceği kadar ciddidir.Some failures are serious enough that no amount of retries is likely to result in a successful operation. Bu gibi durumlarda, bir hata olayı günlüğe kaydedilir ve işlem durdurulur.In these cases, an error event is logged and the process is stopped. Aşağıdaki olaylar yeniden denenmez:The following events are not retried:

OlayEvent SeveritySeverity AçıklamaDescription
69196919 BilgiInformation Zaman damgası güncelliğini yitirdiği için bir parola eşitleme ayarlama işlemi gerçekleştirilmedi.A password synchronization set operation was not performed because the timestamp was out of date.
69216921 HataError Parola yönetimi, hedef yönetim aracı üzerinde etkinleştirilmediğinden parola eşitleme ayarlama işlemi gerçekleştirilmedi.The password synchronization set operation was not processed because password management is not enabled on the target management agent.
69226922 HataError Parola yönetimi, hedef yönetim aracı üzerinde yapılandırılmadığı için parola eşitleme ayarlama işlemi gerçekleştirilmedi.The password synchronization set operation was not processed because password management is not configured on the target management agent.
69236923 UyarıWarning Hedef bağlayıcı alanı nesnesi bağlı dizinde bulunamadığı için parola eşitleme ayarlama işlemi gerçekleştirilmedi.The password synchronization set operation was not processed because the target connector space object could not be found in the connected directory.
69276927 HataError Parola eşitleme ayarlama işlemi, parola, hedef sistemin parola ilkesini karşılamadığı için başarısız oldu.The password synchronization set operation failed because the password does not satisfy the password policy of the target system.
69286928 HataError Hedef yönetim aracının parola uzantısı parola ayar işlemlerini destekleyecek şekilde yapılandırılmadığından parola eşitleme ayarlama işlemi başarısız oldu.The password synchronization set operation failed because the password extension for the target management agent is not configured to support password set operations.

Kullanıcı tabanlı parola değiştirme yönetimiUser-based password change management

MIM parola sıfırlama için Windows Yönetim Araçları (WMI) kullanan iki web uygulaması sağlar.MIM provides two web applications that use Windows Management Instrumentation (WMI) for resetting passwords. Parola eşitlemede olduğu gibi, Yönetim Aracısı Tasarımcısı'nda yönetim aracısını yapılandırdığınızda parola yönetimini etkinleştirirsiniz.As with password synchronization, you activate password management when you configure the management agent in Management Agent Designer. Parola yönetimi ve WMI hakkında bilgi için, bkz. MIM Geliştirici Başvurusu.For information about password management and WMI, see the MIM Developer Reference.

MIM, kurulum sırasında özellikle parola yönetimi işlemlerini destekleyen iki güvenlik grubu oluşturur:MIM creates two security groups during installation that specifically support password management operations:

  • FIMSyncBrowse - Bu grubun üyelerinin, WMI sorgularıyla arama işlemleri yaparken bir kullanıcının hesaplarıyla ilgili bilgi toplama izni vardır.FIMSyncBrowse—Members of this group have permission to gather information about a user's accounts when doing search operations with WMI queries.

  • FIMSyncPasswordSet - Bu grubun üyeleri, WMI ile parola yönetim arabirimlerini kullanarak hesap arama, parola ayarlama ve parola değiştirme işlemlerini gerçekleştirme iznine sahiptir.FIMSyncPasswordSet—Members of this group have permission to perform account search, password set, and password change operations using the password management interfaces with WMI.