Résolvez les problèmes liés aux droits d’accès et aux autorisations de réécriture du mot de passe
Cet article décrit les droits d’accès et les autorisations requis dans la racine du domaine, l’objet utilisateur et le conteneur Intégré dans Active Directory. Il traite également des éléments suivants :
- Stratégies de groupe de domaine requises
- Comment identifier le compte de connecteur services de domaine Active Directory (AD DS) que Microsoft Entra Connect utilise
- Comment vérifier les autorisations existantes sur ce compte
- Comment éviter les problèmes de réplication
Ces informations peuvent vous aider à résoudre des problèmes spécifiques qui impliquent la réécriture du mot de passe.
Identifier le compte de connecteur AD DS
Avant de vérifier les autorisations d’écriture différée du mot de passe, vérifiez le compte de connecteur AD DS actuel (également appelé compte MSOL_ ) dans Microsoft Entra Connect. La vérification de ce compte vous permet d’éviter de prendre les mauvaises étapes lors de la résolution des problèmes d’écriture différée du mot de passe.
Pour identifier le compte de connecteur AD DS :
Ouvrez le Gestionnaire du service de synchronisation. Pour ce faire, sélectionnez Démarrer, entrez Microsoft Entra Connect, sélectionnez Microsoft Entra Connect dans les résultats de la recherche, puis sélectionnez Service de synchronisation.
Sélectionnez l’onglet Connecteurs , puis sélectionnez le connecteur Active Directory applicable. Dans le volet Actions , sélectionnez Propriétés pour ouvrir la boîte de dialogue Propriétés .
Dans le volet gauche de la fenêtre Propriétés , sélectionnez Se connecter à la forêt Active Directory, puis copiez le nom du compte qui apparaît en tant que nom d’utilisateur.
Vérifier les autorisations existantes du compte de connecteur AD DS
Pour définir les autorisations Active Directory correctes pour la réécriture du mot de passe, utilisez le module PowerShell ADSyncConfig intégré. Le module ADSyncConfig inclut une méthode permettant de définir des autorisations pour l’écriture différée de mot de passe à l’aide de l’applet de commande Set-ADSyncPasswordWritebackPermissions.
Pour vérifier si le compte de connecteur AD DS (autrement dit, le compte MSOL_ ) dispose des autorisations appropriées pour un utilisateur spécifique, utilisez l’un des outils suivants :
- Utilisateurs et ordinateurs Active Directory composant logiciel enfichable sur la console de gestion Microsoft (MMC)
- Invite de commandes
- PowerShell
Utilisateurs et ordinateurs Active Directory
Utilisez le composant logiciel enfichable MMC pour Utilisateurs et ordinateurs Active Directory. Effectuez les étapes suivantes :
Sélectionnez Démarrer, entrez dsa.msc, puis sélectionnez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory dans les résultats de la recherche.
Sélectionnez Afficher les>fonctionnalités avancées.
Dans l’arborescence de la console, recherchez et sélectionnez le compte d’utilisateur pour lequel vous souhaitez vérifier les autorisations. Sélectionnez ensuite l’icône Propriétés .
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité , puis sélectionnez le bouton Avancé .
Dans la boîte de dialogue Paramètres de sécurité avancés du compte, sélectionnez l’onglet Autorisations effectives . Ensuite, dans la section Groupe ou nom d’utilisateur, sélectionnez le bouton Sélectionner .
Dans la boîte de dialogue Sélectionner un utilisateur, un ordinateur ou un groupe, sélectionnez Advanced>Find Now pour afficher la liste de sélection. Dans la zone de résultats de la recherche, sélectionnez le nom du compte MSOL_.
Sélectionnez OK deux fois pour revenir à l’onglet Autorisations effectives dans la boîte de dialogue Paramètres de sécurité avancés . À présent, vous pouvez afficher la liste des autorisations effectives pour le compte MSOL_ qui sont affectés au compte d’utilisateur. La liste des autorisations par défaut requises pour la réécriture du mot de passe s’affiche dans la section Autorisations requises sur la section objet utilisateur de cet article.
Invite de commandes
Utilisez la commande dsacls pour afficher les listes de contrôle d’accès (ACL ou autorisations) du compte de connecteur AD DS. La commande suivante stocke la sortie de la commande dans un fichier texte, bien que vous puissiez la modifier pour afficher la sortie sur la console :
dsacls "CN=User01,OU=Sync,DC=Contoso,DC=com" > dsaclsDomainContoso.txt
Vous pouvez utiliser cette méthode pour analyser les autorisations pour n’importe quel objet Active Directory. Toutefois, il n’est pas utile de comparer les autorisations entre les objets, car la sortie du texte n’est pas triée.
PowerShell
Utilisez l’applet de commande Get-Acl pour obtenir les autorisations du compte connecteur AD DS, puis stockez la sortie en tant que fichier XML à l’aide de l’applet de commande Export-Clixml , comme suit :
Set-Location AD:
Get-Acl "DC=Contoso,DC=com" | Export-Clixml aclDomainContoso.xml
La méthode PowerShell est utile pour l’analyse hors connexion. Il vous permet d’importer le fichier à l’aide de l’applet de commande Import-Clixml . Elle conserve également la structure d’origine de la liste de contrôle d’accès et de ses propriétés. Vous pouvez utiliser cette méthode pour analyser les autorisations pour n’importe quel objet Active Directory.
Éviter les problèmes de réplication lors de la résolution des autorisations
Lorsque vous corrigez les autorisations Active Directory, les modifications apportées à Active Directory peuvent ne pas prendre effet immédiatement. Les autorisations Active Directory sont également soumises à des réplications dans la forêt de la même manière que les objets Active Directory. Comment atténuer les problèmes ou retards de réplication Active Directory ? Vous définissez un contrôleur de domaine préféré dans Microsoft Entra Connect et travaillez uniquement sur ce contrôleur de domaine pour toutes les modifications. Lorsque vous utilisez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur la racine du domaine dans l’arborescence de la console, sélectionnez l’élément de menu Modifier le contrôleur de domaine, puis choisissez le même contrôleur de domaine préféré.
Pour une vérification rapide de la santé dans Active Directory, exécutez les diagnostics du contrôleur de domaine à l’aide de la commande dcdiag . Exécutez ensuite la commande repadmin /replsummary pour afficher un résumé des problèmes de réplication. Les commandes suivantes stockent la sortie de commande dans des fichiers texte, bien que vous puissiez les modifier pour afficher la sortie sur la console :
dcdiag > dcdiag.txt
repadmin /replsum > replsum.txt
Autorisations requises sur la racine du domaine Active Directory
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur la racine du domaine Active Directory. Ne confondez pas cette racine avec la racine de la forêt Active Directory. Une forêt peut avoir plusieurs domaines Active Directory. Chaque domaine doit disposer des autorisations correctes définies dans sa propre racine, afin que l’écriture différée de mot de passe puisse fonctionner pour les utilisateurs de ce domaine.
Vous pouvez afficher les autorisations Active Directory existantes dans les propriétés de sécurité de la racine du domaine. Effectuez les étapes suivantes :
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans l’arborescence de la console, recherchez et sélectionnez la racine du domaine Active Directory, puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité .
Chacune des sous-sections suivantes contient une table des autorisations par défaut racine de domaine. Ce tableau affiche les entrées d’autorisation requises pour le groupe ou le nom d’utilisateur figurant dans le titre de la sous-section. Pour afficher et modifier les entrées d’autorisation actuelles en fonction des conditions requises pour chaque groupe ou nom d’utilisateur, procédez comme suit pour chaque sous-section :
Sous l’onglet Sécurité , sélectionnez le bouton Avancé pour afficher la boîte de dialogue Paramètres de sécurité avancés . L’onglet Autorisations affiche la liste actuelle des autorisations racine de domaine pour chaque identité Active Directory (principal).
Comparez la liste des autorisations actuelles par rapport à la liste des autorisations par défaut pour chaque identité Active Directory (principal).
Si nécessaire, sélectionnez Ajouter pour ajouter des entrées d’autorisation requises manquantes dans la liste active. Vous pouvez également sélectionner une entrée d’autorisation, puis modifier pour modifier cette entrée pour répondre à la condition requise. Répétez cette étape jusqu’à ce que les entrées d’autorisation actuelles correspondent à la table de sous-sections.
Sélectionnez OK pour accepter les modifications dans la boîte de dialogue Paramètres de sécurité avancés et revenir à la boîte de dialogue Propriétés .
Note
Les autorisations sur la racine du domaine Active Directory ne sont pas héritées d’un conteneur parent.
Autorisations par défaut racines pour le compte de connecteur AD DS (Autoriser)
| Autorisation | S’applique à |
|---|---|
| Réinitialiser le mot de passe | Objets utilisateur descendants |
| (vide) | Objets msDS-Device descendants |
| Réplication des modifications de l’annuaire | Cet objet uniquement |
| Réplication de toutes les modifications de l’annuaire | Cet objet uniquement |
| Lire toutes les propriétés | Objets publicFolder descendants |
| Lecture/écriture de toutes les propriétés | Objets InetOrgPerson descendants |
| Lecture/écriture de toutes les propriétés | Objets groupe descendants |
| Lecture/écriture de toutes les propriétés | Objets utilisateur descendants |
| Lecture/écriture de toutes les propriétés | Objets contact descendants |
Autorisations par défaut racines pour les utilisateurs authentifiés (Autoriser)
| Autorisation | S’applique à |
|---|---|
| Activer le mot de passe chiffré réversible par utilisateur | Cet objet uniquement |
| Mot de passe non expiré | Cet objet uniquement |
| Mettre à jour le mot de passe non requis | Cet objet uniquement |
| Caractère | Cet objet uniquement |
| (vide) | Cet objet et tous les objets descendants |
Autorisations par défaut racines pour tout le monde (Refuser + Autoriser)
| Type | Autorisation | S’applique à |
|---|---|---|
| Deny | Supprimer tous les objets enfants | Cet objet uniquement |
| Autoriser | Lire toutes les propriétés | Cet objet uniquement |
Autorisations par défaut racines pour l’accès compatible pré-Windows 2000 (Autoriser)
| Autorisation | S’applique à |
|---|---|
| Caractère | Objets InetOrgPerson descendants |
| Caractère | Objets groupe descendants |
| Caractère | Objets utilisateur descendants |
| Caractère | Cet objet uniquement |
| Lister le contenu | Cet objet et tous les objets descendants |
Autorisations par défaut racines pour SELF (Autoriser)
| Autorisation | S’applique à |
|---|---|
| (vide) | Cet objet et tous les objets descendants |
| Caractère | Tous les objets descendants |
| Écriture validée sur les attributs d’ordinateur | Objets ordinateur descendants |
| (vide) | Objets ordinateur descendants |
Autorisations requises sur l’objet utilisateur
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur l’objet utilisateur cible qui doit mettre à jour le mot de passe. Pour afficher les autorisations de sécurité existantes, procédez comme suit pour afficher les propriétés de sécurité de l’objet utilisateur :
Revenez au composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Utilisez l’arborescence de la console ou l’élément de menu Rechercher des actions> pour sélectionner l’objet utilisateur cible, puis sélectionnez l’icône Propriétés.
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité .
Chacune des sous-sections suivantes contient une table des autorisations par défaut de l’utilisateur. Ce tableau affiche les entrées d’autorisation requises pour le groupe ou le nom d’utilisateur figurant dans le titre de la sous-section. Pour afficher et modifier les entrées d’autorisation actuelles en fonction des conditions requises pour chaque groupe ou nom d’utilisateur, procédez comme suit pour chaque sous-section :
Sous l’onglet Sécurité , sélectionnez le bouton Avancé pour afficher la boîte de dialogue Paramètres de sécurité avancés .
Vérifiez que le bouton Désactiver l’héritage s’affiche en bas de la boîte de dialogue. Si le bouton Activer l’héritage s’affiche à la place, sélectionnez ce bouton. La fonctionnalité d’héritage d’activation permet à tous les autorisations des conteneurs parents et des unités organisationnelles d’être héritées par cet objet. Cette modification résout le problème.
Sous l’onglet Autorisations, comparez la liste des autorisations actuelles par rapport à la liste des autorisations par défaut pour chaque identité Active Directory (principal). L’onglet Autorisations affiche la liste actuelle des autorisations utilisateur pour chaque identité Active Directory (principal).
Si nécessaire, sélectionnez Ajouter pour ajouter des entrées d’autorisation requises manquantes dans la liste active. Vous pouvez également sélectionner une entrée d’autorisation, puis modifier pour modifier cette entrée pour répondre à la condition requise. Répétez cette étape jusqu’à ce que les entrées d’autorisation actuelles correspondent à la table de sous-sections.
Sélectionnez OK pour accepter les modifications dans la boîte de dialogue Paramètres de sécurité avancés et revenir à la boîte de dialogue Propriétés .
Note
Contrairement à la racine du domaine Active Directory, les autorisations requises pour l’objet utilisateur sont généralement héritées de la racine du domaine, ou d’un conteneur parent ou d’une unité organisationnelle. Les autorisations qui ont été définies directement sur l’objet indiquent un héritage de None. L’héritage de l’entrée de contrôle d’accès (ACE) n’est pas important tant que les valeurs du type, du principal, de l’accès et de l’application aux colonnes de l’autorisation sont identiques. Toutefois, certaines autorisations peuvent être définies uniquement dans la racine du domaine. Ces entités sont répertoriées dans les tables de sous-sections.
Autorisations par défaut de l’utilisateur pour le compte de connecteur AD DS (Autoriser)
| Autorisation | Hérité de | S’applique à |
|---|---|---|
| Réinitialiser le mot de passe | <racine de domaine> | Objets utilisateur descendants |
| (vide) | <racine de domaine> | Objets msDS-Device descendants |
| Lire toutes les propriétés | <racine de domaine> | Objets publicFolder descendants |
| Lecture/écriture de toutes les propriétés | <racine de domaine> | Objets InetOrgPerson descendants |
| Lecture/écriture de toutes les propriétés | <racine de domaine> | Objets groupe descendants |
| Lecture/écriture de toutes les propriétés | <racine de domaine> | Objets utilisateur descendants |
| Lecture/écriture de toutes les propriétés | <racine de domaine> | Objets contact descendants |
Autorisations utilisateur par défaut pour les utilisateurs authentifiés (Autoriser)
| Autorisation | Hérité de | S’applique à |
|---|---|---|
| Lire les informations générales | Aucun(e) | Cet objet uniquement |
| Lire les informations publiques | Aucun(e) | Cet objet uniquement |
| Lire les informations personnelles | Aucun(e) | Cet objet uniquement |
| Lire les informations web | Aucun(e) | Cet objet uniquement |
| Autorisations de lecture | Aucun(e) | Cet objet uniquement |
| Lire les informations Exchange | <racine de domaine> | Cet objet et tous les objets descendants |
Autorisations par défaut de l’utilisateur pour tout le monde (Autoriser)
| Autorisation | Hérité de | S’applique à |
|---|---|---|
| Modifier le mot de passe | Aucun(e) | Cet objet uniquement |
Autorisations par défaut de l’utilisateur pour l’accès compatible pré-Windows 2000 (Autoriser)
Les autorisations spéciales de ce tableau incluent le contenu de la liste, la lecture de toutes les propriétés et les droits d’autorisations de lecture.
| Autorisation | Hérité de | S’applique à |
|---|---|---|
| Caractère | <racine de domaine> | Objets InetOrgPerson descendants |
| Caractère | <racine de domaine> | Objets groupe descendants |
| Caractère | <racine de domaine> | Objets utilisateur descendants |
| Lister le contenu | <racine de domaine> | Cet objet et tous les objets descendants |
Autorisations par défaut de l’utilisateur pour SELF (Autoriser)
Les autorisations spéciales de ce tableau incluent uniquement les droits d’informations privées en lecture-écriture.
| Autorisation | Hérité de | S’applique à |
|---|---|---|
| Modifier le mot de passe | Aucun(e) | Cet objet uniquement |
| Envoyer en tant que | Aucun(e) | Cet objet uniquement |
| Recevoir en tant que | Aucun(e) | Cet objet uniquement |
| Informations personnelles en lecture/écriture | Aucun(e) | Cet objet uniquement |
| Options de téléphone et de messagerie en lecture/écriture | Aucun(e) | Cet objet uniquement |
| Informations web en lecture/écriture | Aucun(e) | Cet objet uniquement |
| Caractère | Aucun(e) | Cet objet uniquement |
| Écriture validée sur les attributs d’ordinateur | <racine de domaine> | Objets ordinateur descendants |
| (vide) | <racine de domaine> | Objets ordinateur descendants |
| (vide) | <racine de domaine> | Cet objet et tous les objets descendants |
| Caractère | <racine de domaine> | Cet objet et tous les objets descendants |
Autorisations requises sur l’objet serveur SAM
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur l’objet serveur DU Gestionnaire de comptes de sécurité (SAM) (CN=Server,CN=System,DC=Contoso,DC=com). Pour rechercher les propriétés de sécurité de l’objet serveur SAM (samServer), procédez comme suit :
Revenez au composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans l’arborescence de la console, recherchez et sélectionnez le conteneur système .
Recherchez et sélectionnez Serveur (objet samServer), puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés de l’objet, sélectionnez l’onglet Sécurité .
Sélectionnez la boîte de dialogue Paramètres de sécurité avancés. L’onglet Autorisations affiche la liste actuelle des autorisations d’objet samServer pour chaque identité Active Directory (principal).
Vérifiez qu’au moins l’un des principaux suivants est répertorié dans l’entrée de contrôle d’accès pour l’objet samServer. Si seul l’accès compatible avec Windows 2000 est répertorié, vérifiez que les utilisateurs authentifiés sont membres de ce groupe intégré.
Autorisations pour l’accès compatible pré-Windows 2000 (Autoriser)
Les autorisations spéciales doivent inclure le contenu de la liste, lire toutes les propriétés et les droits d’autorisations de lecture.
Autorisations pour les utilisateurs authentifiés (Autoriser)
Les autorisations spéciales doivent inclure le contenu de la liste, lire toutes les propriétés et les droits d’autorisations de lecture.
Autorisations requises sur le conteneur Intégré
Cette section décrit les autorisations Active Directory attendues pour la réécriture du mot de passe sur le conteneur Intégré. Pour afficher les autorisations de sécurité existantes, procédez comme suit pour accéder aux propriétés de sécurité de l’objet intégré :
Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
Dans l’arborescence de la console, recherchez et sélectionnez le conteneur Intégré , puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés du compte, sélectionnez l’onglet Sécurité .
Sélectionnez le bouton Avancé pour afficher la boîte de dialogue Paramètres de sécurité avancés. L’onglet Autorisations affiche la liste actuelle des autorisations de conteneur intégrées pour chaque identité Active Directory (principal).
Comparez cette liste d’autorisations actuelle par rapport à la liste des autorisations autorisées requises pour le compte MSOL_ , comme suit.
Autorisation Hérité de S’applique à Lecture/écriture de toutes les propriétés <racine de domaine> Objets InetOrgPerson descendants Lecture/écriture de toutes les propriétés <racine de domaine> Objets groupe descendants Lecture/écriture de toutes les propriétés <racine de domaine> Objets utilisateur descendants Lecture/écriture de toutes les propriétés <racine de domaine> Objets contact descendants Si nécessaire, sélectionnez Ajouter pour ajouter des entrées d’autorisation requises manquantes dans la liste active. Vous pouvez également sélectionner une entrée d’autorisation, puis modifier pour modifier cette entrée pour répondre à la condition requise. Répétez cette étape jusqu’à ce que les entrées d’autorisation actuelles correspondent à la table de sous-sections.
Sélectionnez OK pour quitter la boîte de dialogue Paramètres de sécurité avancés et revenir à la boîte de dialogue Propriétés .
Autres autorisations Active Directory requises
Dans les propriétés du groupe Accès compatible pré-Windows 2000, accédez à l’onglet Membres et vérifiez que les utilisateurs authentifiés sont membres de ce groupe. Sinon, vous pouvez rencontrer des problèmes qui affectent l’écriture différée de mot de passe sur Microsoft Entra Connect et Active Directory (en particulier sur les versions antérieures).
Stratégies de groupe de domaine requises
Pour vous assurer que vous disposez des stratégies de groupe de domaine appropriées, procédez comme suit :
Sélectionnez Démarrer, entrez secpol.msc, puis sélectionnez Stratégie de sécurité locale dans les résultats de la recherche.
Dans l’arborescence de la console, sous Paramètres de sécurité, développez Stratégies locales, puis sélectionnez Attribution des droits utilisateur.
Dans la liste des stratégies, sélectionnez Emprunter l’identité d’un client après l’authentification, puis sélectionnez l’icône Propriétés .
Dans la boîte de dialogue Propriétés , vérifiez que les groupes suivants sont répertoriés sous l’onglet Paramètre de sécurité local :
- Administrateurs
- SERVICE LOCAL
- SERVICE RÉSEAU
- SERVICE
Pour plus d’informations, consultez les valeurs par défaut pour l’emprunt d’identité d’un client après la stratégie d’authentification.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.