Die Kennwortsynchronisierung wird in der neuen Rückschreiboption von Azure weiterentwickelt

Office 365 oder andere Cloud-basierte Anwendungen. AD FS ist zwar eine ausgezeichnete Wahl, macht aber auch die Umgebung komplexer, insbesondere für Unternehmen, die nicht viel Erfahrung damit haben. Administratoren sollten nach Alternativen suchen, z. B. nach der Kennwortsynchronisierung mit aktivierter Rückschreiboption.

Die Einweg-Passwortsynchronisation kann problematisch sein. Wenn Endbenutzer ihre ändern Passwörter in der CloudDiese Passwörter werden vor Ort nicht geändert. Dies kann zu Verwirrung führen, da der Kennwortsynchronisierungsprozess die Kennwortänderung bei der nächsten Synchronisierung nicht überschreibt. Dies geschieht nur, wenn eine Kennwortänderung vor Ort festgestellt wird. Obwohl die Kennwortsynchronisierung verwendet wird, können Endbenutzer ein Kennwort vor Ort und eines in der Cloud erhalten.

Die Option zum Zurückschreiben des Kennworts ermöglicht das Zurückschreiben der Kennwortänderung in Active Directory. Es mag beängstigend klingen, ist es aber nicht.

So funktioniert der Rückschreibvorgang

Der Prozess zum Zurücksetzen und Zurückschreiben von Passwörtern durchläuft eine Reihe von Schritten, bevor er tatsächlich lokal geändert wird. Das Cloud-Dienst zum Zurücksetzen des Kennworts Initiiert das Zurücksetzen von Kennwörtern in Office 365. Wenn Endbenutzer auf den Dienst zugreifen, um ihre Kennwörter zurückzusetzen, überprüft der Dienst zunächst, ob der Rückschreibdienst als Teil des Azure AD Sync-Tools (AADSync) aktiviert ist. Wenn dies der Fall ist, kann das Zurücksetzen des Kennworts fortgesetzt werden. Wenn nicht, verhindert der Prozess die Kennwortänderung.
Wenn der Endbenutzer fortfährt, wird das ausgewählte Passwort verschlüsselt und an das gesendet Service-Bus-Relais des Azure-Abonnements. Ein eindeutiges Kennwort schützt diese Komponente, die beim Einrichten der Rückschreiboption generiert wird. Das Kennwort ist nur Ihrer lokalen Organisation bekannt und wird sicher in einem verschlüsselten Zustand gespeichert.
Das System sucht dann das entsprechende Konto des Endbenutzers im AD Connector-Bereich, der während des Verzeichnissynchronisierungsprozesses eingerichtet wird. Sobald das richtige Konto gefunden wurde, wird versucht, das Kennwort in der entsprechenden lokalen AD-Gesamtstruktur zurückzusetzen. Wenn das Zurücksetzen des Kennworts erfolgreich ist, werden die Informationen an den Benutzer zurückgegeben. Wenn das Kennwort nicht zurückgesetzt werden konnte, weil das Kennwort beispielsweise nicht den lokalen Regeln für die Kennwortkomplexität entsprach, werden Endbenutzer ebenfalls benachrichtigt, damit sie es nach Behebung des Problems erneut versuchen können.
Der in diesem Tipp beschriebene Prozess ist vereinfacht und zeigt den allgemeinen Prozess hinter der Funktion. Weitere technische und schrittweise Anleitungen finden Sie in diesem TechNet-Artikel.

Konfigurieren Sie das lokale Zurückschreiben von Passwörtern

Für die folgenden Schritte wird davon ausgegangen, dass Sie das neueste AADSync-Tool bereits installiert haben. Wenn Sie die Schritte zum Einrichten der Verzeichnissynchronisierung ausführen, müssen Sie Folgendes auswählen Passwort zurückschreiben (Abbildung 1). Stellen Sie sicher, dass der Server, auf dem Sie AADSync installiert haben, mit https://ssprsbprodncu-sb.accesscontrol.windows.net (TCP 443) kommunizieren kann (ausgehend).

AADSync ausgehende Kommunikation mit TCP 443

Führen Sie das folgende Cmdlet auf dem Server aus, auf dem AADSync installiert ist, um zu überprüfen, ob das Zurücksetzen des Kennworts ordnungsgemäß aktiviert wurde. Stellen Sie sicher, dass Sie die Syntax ändern, wenn Sie Windows Server 2008 R2 ausführen. Unser Beispiel funktioniert nur mit Serverversionen mit mindestens PowerShell Version 4.
PS C: > Import-Modul ADSync
PS C: > Get-ADSyncAADPasswordResetConfiguration -Connector (Get-ADSyncConnector |? Subtyp -eq “Windows Azure Active Directory (Microsoft)”). Name

Connector aktiviert ModifiedTimestamp
——— ——- —————–
exchangeangelonon.onmicrosoft.com – AAD True 30/01/2015 10:05:48

Darüber hinaus können Sie das Anwendungsereignisprotokoll nach dem folgenden Ereignis durchsuchen (Abbildung 2).

Durchsuchen Sie das Anwendungsereignisprotokoll

Damit die Rückschreibfunktion ordnungsgemäß funktioniert, muss dem Konto, das Sie im Rahmen des Einrichtungsprozesses für die Verzeichnissynchronisierung konfiguriert haben, die Berechtigung erteilt werden Passwort zurücksetzen und Kennwort ändern Erweiterte Rechte für alle Endbenutzer, für die der Rückschreibvorgang ausgeführt werden soll. Im Idealfall sollten Sie Berechtigungen auf Stammebene aktivieren und sicherstellen, dass sie an alle untergeordneten Objekte weitergegeben werden. Öffnen Sie dazu Active Directory-Benutzer und -Computer Klicken Sie mit der rechten Maustaste auf das Stammobjekt (Domäne). Klicken Eigenschaften und navigieren Sie zu Sicherheit Tab. Von dort aus klicken Sie Fortgeschrittene und dann klicken Hinzufügen. Daraufhin wird das in Abbildung 3 gezeigte Fenster angezeigt. Stellen Sie sicher, dass Sie die entsprechenden Optionen auswählen.

Optionen für Active Directory-Benutzer und -Computer

Nach dem Klicken OKwird eine Warnung angezeigt, die Sie darüber informiert, dass Sie eine Reihe von Änderungen an Objekten in der Domäne vornehmen. Akzeptieren Sie diese Änderungen.
Eine Warnung: Einige Organisationen blockieren möglicherweise die Vererbung auf der Ebene der zugrunde liegenden Organisationseinheiten. In diesem Fall müssen Sie diesen Vorgang auf Organisationseinheitsebene und überall dort wiederholen, wo die Vererbung blockiert ist, oder die Vererbung aktivieren, bevor Sie diese Änderungen anwenden. Das Problem mit dem letzteren Prozess ist, dass Sie diese Änderungen nicht immer vornehmen können, da dadurch möglicherweise etwas anderes beschädigt wird. Nachdem Sie diese Schritte ausgeführt haben, können Sie die Rückschreibfunktion über das Azure AD-Verwaltungsportal aktivieren.
Über den Autor:

Michael Van Horenbeeck ist ein Microsoft Certified Solutions Master und Exchange Server MVP aus Belgien und arbeitet für ENow, ein Unternehmen, das Systemverwaltungssoftware für Microsoft-Technologien anbietet. Er ist spezialisiert auf Exchange, Office 365, Active Directory und ein bisschen Lync. Er leistet einen aktiven Beitrag in der Exchange-Community, indem er Artikel für verschiedene Tech-Websites und seinen eigenen Blog schreibt und am Podcast von UC Architects teilnimmt. Er spricht häufig auf internationalen Konferenzen, darunter TechEd, IT / DEV Connections und die Microsoft Exchange-Konferenz.

Similar Posts

Leave a Reply