Problembehandlung bei Kennwortzurücksetzungen, die durch lokale Richtlinien blockiert werden
Dieser Artikel hilft Ihnen bei der Problembehandlung in einem Szenario, in dem ein Benutzer oder Administrator ein Kennwort nicht zurücksetzen oder ändern kann, da die lokale Active Directory-Kennwortrichtlinie dies nicht zulässt.
Problembeschreibung
Führen Sie im Azure-Portal die folgenden Schritte aus:
- Wählen Sie Azure Active Directory > Benutzer aus.
- Wählen Sie einen Benutzer aus der Liste aus.
- Wählen Sie den Link "Kennwort zurücksetzen " aus.
- Geben Sie ein temporäres Kennwort ein, das der Benutzer verwenden soll.
- Wählen Sie die Schaltfläche "Kennwort zurücksetzen " aus.
In diesem Szenario wird die folgende Fehlermeldung angezeigt:
Leider können Sie das Kennwort dieses Benutzers nicht zurücksetzen, da die lokale Richtlinie dies nicht zulässt. Überprüfen Sie Ihre lokale Richtlinie, um sicherzustellen, dass sie ordnungsgemäß eingerichtet ist.
Ursache
Die Fehlermeldung wird von einem lokalen Domänencontroller gesendet. Führen Sie die folgenden Schritte aus, um weitere Informationen zu dem Problem zu erhalten.
Hinweis
Dieses Verfahren erfordert, dass Sie die Überwachungsrichtlinie ihres Domänencontrollers für "Kontoverwaltung – Fehlerereignisse " aktivieren. Weitere Informationen finden Sie unter "Kontoverwaltung überwachen".
Wechseln Sie zu einem lokalen Domänencontroller.
Öffnen Sie das Ereignisanzeige-Snap-In. Wählen Sie dazu "Start" aus, geben Sie "eventvwr.msc" ein, und drücken Sie dann die EINGABETASTE.
Erweitern Sie unter dem Knoten Ereignisanzeige (Lokal) in der Randleiste Windows Protokolle, und wählen Sie dann Sicherheit aus.
Suchen Sie nach Überwachungsereignissen, die Ereignis-ID 4724, Überwachungsfehler (in der Spalte "Schlüsselwörter ") und Benutzerkontenverwaltung (in der Spalte "Aufgabenkategorie ") enthalten. Diese Ereignisse sollten dem folgenden Beispiel ähneln:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 11/5/2020 2:44:01 AM Event ID: 4724 Task Category: User Account Management Level: Information Keywords: Audit Failure User: N/A Computer: ADDS01.Contoso.net Description: An attempt was made to reset an account's password. Subject: Security ID: Contoso\MSOL_73c8a9aa6173 Account Name: MSOL_73c8a9aa6173 Account Domain: Contoso Logon ID: 0xF91C5C Target Account: Security ID: Contoso\User01 Account Name: User01 Account Domain: Contoso Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> ... </System> </Event>
In diesem Beispiel wird bestätigt, dass das Kennwortrückschreiben erwartungsgemäß funktioniert. Das eingegebene Kennwort entspricht jedoch nicht der lokalen Active Directory-Kennwortrichtlinie. Die Richtlinie kann aufgrund von Kennwortlänge, Komplexität, Alter oder anderen Anforderungen verletzt werden.
Lösung
Geben Sie ein Kennwort an, das der lokalen Active Directory-Kennwortrichtlinie entspricht.
Überprüfen Sie zunächst die aktuellen Einstellungen für die Kennwortrichtlinie, um Verstöße ermitteln zu können. Wechseln Sie dann zum Domänencontroller, und verwenden Sie eine oder mehrere der folgenden Methoden:
Öffnen Sie auf einem lokalen Domänencontroller ein Eingabeaufforderungsfenster für die Verwaltung, und führen Sie den Befehl "Net Accounts" aus:
C:\>net accounts Force user logoff how long after time expires?: Never Minimum password age (days): 0 Maximum password age (days): 42 Minimum password length: 7 Length of password history maintained: 24 Lockout threshold: Never Lockout duration (minutes): 30 Lockout observation window (minutes): 30 Computer role: PRIMARY The command completed successfully.Alternativ können Sie ein PowerShell-Verwaltungsfenster öffnen und dann das Cmdlet "Get-ADDefaultDomainPasswordPolicy " ausführen:
PS C:\WINDOWS\system32> Get-ADDefaultDomainPasswordPolicy ComplexityEnabled : True DistinguishedName : DC=contoso,DC=net LockoutDuration : 00:30:00 LockoutObservationWindow : 00:30:00 LockoutThreshold : 0 MaxPasswordAge : 42:00:00 MinPasswordAge : 00:00:00 MinPasswordLength : 7 objectClass : {domainDNS} objectGuid : 01234567-89ab-cdef-0123-456789abcdef PasswordHistoryCount : 24 ReversibleEncryptionEnabled : FalseExportieren Sie in einem Eingabeaufforderungsfenster des Administrators einen Gruppenrichtlinienbericht im HTML-Format, indem Sie ausführen
gpresult /h GPreport.htm. Öffnen Sie den exportierten Bericht (GPreport.htm) in einem Browserfenster, und zeigen Sie dann die Richtlinieneinstellungen unter "Kontorichtlinien/Kennwortrichtlinie" an.
Wurde die lokale Active Directory-Kennwortrichtlinie mithilfe abgestimmter Kennwortrichtlinien konfiguriert? Wenn dies der Fall ist, überprüfen Sie die resultierende Kennwortrichtlinie für den Zielbenutzer, indem Sie den Net-Benutzerbefehl (net user <username> /domain) ausführen:
C:\>net user User01 /domain
User name User01
Full Name User01
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 11/5/2020 1:57:43 PM
Password expires 12/17/2020 1:57:43 PM
Password changeable 11/5/2020 1:57:43 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon Never
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
Ist das eingegebene Kennwort mit der lokalen Active Directory-Kennwortrichtlinie kompatibel, aber das Problem bleibt bestehen? Überprüfen Sie in diesem Fall, ob Sie Azure AD Kennwortschutz in Ihrer lokalen AD DS-Umgebung verwenden oder ob auf Ihren Domänencontrollern Kennwortfiltersoftware von Drittanbietern installiert ist.