Forefront Identity Manager 2010: Problem mit der Kennwortzurücksetzung
Dieser Artikel hilft Ihnen, das Problem zu beheben, bei dem Forefront Identity Manager Kennwörter für eine Gruppe von Benutzerobjekten nicht zurücksetzen kann.
Ursprüngliche Produktversion: Forefront Identity Manager 2010
Ursprüngliche KB-Nummer: 2028194
Problembeschreibung
Sie verwenden den Forefront Identity Manager (FIM)-Self-Service-Client für die Kennwortzurücksetzung und setzen Ihr Kennwort gerade zurück. Sie haben die Fragen der Herausforderung erfolgreich beantwortet. Wenn Sie auf der Seite Neues Kennwort eingeben auf die Schaltfläche Zurücksetzen klicken, gibt ein Dialogfeld den Fehler zurück:
Fehler beim Zurücksetzen des Kennworts. Versuchen Sie es erneut.
Auf dem Server, auf dem der FIM-Dienst ausgeführt wird, protokolliert ein entsprechendes Anwendungs- und Dienstereignis den Fehler:
"PWReset Activity"s MIIS Password Set Call failed with ma-access-denied" wird in das FIM-Ereignisprotokoll geschrieben.
Ursache
Der Rückgabecode ma-access-denied gibt an, dass der relevante Active Directory-Verwaltungs-Agent (AD MA) nicht berechtigt ist, das Kennwort für ein bestimmtes Zielbenutzerobjekt festzulegen.
In diesem Artikel wird das spezifische Szenario erläutert, in dem Forefront Identity Manager Kennwörter für eine Gruppe von Benutzerobjekten, deren Sicherheitsdeskriptor-Attribut von der Domäne verwaltet wird, nicht zurücksetzen kann, um dem Sicherheitsdeskriptor des AdminSDHolder-Objekts zu entsprechen.
Weitere Informationen zum AdminSDHolder finden Sie im Abschnitt Weitere Informationen in diesem Artikel.
Lösung
Verwenden Sie eine der folgenden Lösungen:
- Erteilen Sie dem Active Directory-Verwaltungs-Agent-Konto ausreichende Berechtigungen, um Kennwörter für diese Benutzerobjekte zurückzusetzen.
- Entfernen Sie die Benutzerobjekte, deren Sicherheitsbeschreibung vom AdminSDHolder verwaltet wird, aus der Gruppe von Benutzern, die für Self-Service Kennwortzurücksetzung in FIM aktiviert sind.
Detaillierte Optionen zum Beheben dieses Problems
Entscheiden Sie, dass diese Konten zu wichtig sind, und erlauben Sie es ihnen nicht, FIM zum Zurücksetzen ihrer Kennwörter zu verwenden, indem Sie diese Benutzer aus den festgelegten Benutzern für die Kennwortzurücksetzung nehmen.
Entfernen Sie Benutzer, die ihre Kennwortzurücksetzungsoptionen über FIM verwalten, aus den unten aufgeführten Gruppen.
Wenn sich die Benutzer, die die Kennwortzurücksetzung mithilfe von FIM verwalten, in einer der folgenden Gruppen und in keiner anderen Gruppe befinden, sollten Sie eine oder mehrere dieser Gruppen aus der Verwaltung von AdminSDHolder entfernen (Delegierte Berechtigungen sind nicht verfügbar, und die Vererbung ist automatisch deaktiviert).
- Kontooperatoren
- Serveroperatoren
- Druckoperatoren
- Sicherungs-Operatoren
Gewähren Sie dem Active Directory MA-Konto die Rechte Kennwort ändern und Kennwort zurücksetzen für das AdminSDHolder-Objekt.
- Diese Lösung ermöglicht es dem Active Directory MA-Konto, das Kennwort jedes Benutzers zurückzusetzen, der Mitglied der unten
AdminSDHolder Secured Groupsunter aufgeführten Gruppen ist. - Um diese Berechtigungen für das AdminSDHolder-Objekt zu erteilen, muss der
dsaclsBefehl verwendet werden. Beispiele finden Sie unterGranting Permissions on the AdminSDHolder Objectim Abschnitt Weitere Informationen .
- Diese Lösung ermöglicht es dem Active Directory MA-Konto, das Kennwort jedes Benutzers zurückzusetzen, der Mitglied der unten
Weitere Informationen
Um die Administrativen Konten in Active Directory zu schützen, gibt es einen Prozess, der automatisch für Mitglieder der folgenden Gruppen ausgeführt wird, um den Sicherheitsdeskriptor so festzulegen, dass er der des AdminSDHolder-Objekts in Active Directory entspricht.
- Administratoren
- Kontooperatoren
- Serveroperatoren
- Druckoperatoren
- Sicherungs-Operatoren
- Domänen-Admins
- Schema-Admins
- Organisations-Admins
- Zertifikatverleger
Wie und warum dieser Prozess eingerichtet ist, ist wichtig zu verstehen, bevor Sie änderungen an den Berechtigungen für diese Objekte über eine Änderung im Sicherheitsdeskriptor des AdminSDHolder-Objekts vornehmen. Es gibt viele gute Artikel, die auf der Microsoft-Website veröffentlicht wurden. Suchen Sie einfach in unserer technischen Dokumentation nach AdminSDHolder.
Erteilen von Berechtigungen für das AdminSDHolder-Objekt
Wichtig
Wenn Sie eine Änderung am AdminSDHolder-Sicherheitsdeskriptor vornehmen, beachten Sie, dass diese Änderung auf jedes Objekt angewendet wird, dessen Sicherheitsdeskriptor vom Active Directory so verwaltet wird, dass er dem AdminSDHolder entspricht. Dazu gehören unter anderem Mitglieder der Sicherheitsgruppen Domänenadministratoren und Unternehmensadministratoren. Um die Rechte "Kennwort ändern" und "Kennwort zurücksetzen" an AdminSDHolder zu delegieren, verwenden Sie dsacls in einer Befehlszeile wie folgt:
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "mydomain\svc_fimadma:CA;Reset Password"
dsacls "cn=adminsdholder,cn=system,dc=mydomain,dc=com" /G "mydomain\svc_fimadma:CA;Change Password"
Hinweis
Ändern Sie den Distinguished Name und das AD MA-Konto in den obigen Befehlen entsprechend Ihrem System.