Solucionar problemas de restablecimientos de contraseña bloqueados por la directiva local
Este artículo le ayuda a solucionar un escenario en el que un usuario o administrador no puede restablecer o cambiar una contraseña porque la directiva de contraseña de Active Directory local no la permite.
Síntomas
En Azure Portal, siga estos pasos:
- Seleccione Azure Active Directory > Usuarios.
- Elija un usuario de la lista.
- Seleccione el vínculo Restablecer contraseña .
- Escriba una contraseña temporal para que la use el usuario.
- Seleccione el botón Restablecer contraseña .
En esta situación, aparece este mensaje de error:
Desafortunadamente, no puede restablecer la contraseña de este usuario porque la directiva local no la permite. Revise la directiva local para asegurarse de que se ha configurado correctamente.
Causa
Un controlador de dominio local envía el mensaje de error. Para obtener más información sobre el problema, siga estos pasos.
Nota
Este procedimiento requiere que habilite la directiva de auditoría del controlador de dominio para la administración de cuentas: eventos de error. Para obtener más información, vea Audit account management.
Vaya a un controlador de dominio local.
Abra el complemento Visor de eventos. Para ello, seleccione Inicio, escriba eventvwr.msc y, a continuación, presione ENTRAR.
En el nodo Visor de eventos (local) de la barra lateral, expanda Windows registros y, a continuación, seleccione Seguridad.
Busque eventos de auditoría que contengan identificador de evento 4724**, Error** de auditoría (en la columna Palabras clave) y Administración de cuentas de usuario (en la columna Categoría de tarea). Estos eventos deben ser similares al ejemplo siguiente:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 11/5/2020 2:44:01 AM Event ID: 4724 Task Category: User Account Management Level: Information Keywords: Audit Failure User: N/A Computer: ADDS01.Contoso.net Description: An attempt was made to reset an account's password. Subject: Security ID: Contoso\MSOL_73c8a9aa6173 Account Name: MSOL_73c8a9aa6173 Account Domain: Contoso Logon ID: 0xF91C5C Target Account: Security ID: Contoso\User01 Account Name: User01 Account Domain: Contoso Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> ... </System> </Event>
En este ejemplo se confirma que la reescribición de contraseñas funciona según lo esperado. Sin embargo, la contraseña especificada no cumple con la directiva de contraseña de Active Directory local. Es posible que se infrinja la directiva debido a la longitud de la contraseña, la complejidad, la antigüedad u otros requisitos.
Solución
Proporcione una contraseña que cumpla con la directiva de contraseña de Active Directory local.
En primer lugar, compruebe la configuración actual de la directiva de contraseñas para poder determinar cualquier infracción. A continuación, vaya al controlador de dominio y use uno o varios de los métodos siguientes:
Desde un controlador de dominio local, abra una ventana del símbolo del sistema administrativo y ejecute el comando cuentas de red:
C:\>net accounts Force user logoff how long after time expires?: Never Minimum password age (days): 0 Maximum password age (days): 42 Minimum password length: 7 Length of password history maintained: 24 Lockout threshold: Never Lockout duration (minutes): 30 Lockout observation window (minutes): 30 Computer role: PRIMARY The command completed successfully.Como alternativa, abra una ventana de PowerShell administrativa y, a continuación, ejecute el cmdlet Get-ADDefaultDomainPasswordPolicy :
PS C:\WINDOWS\system32> Get-ADDefaultDomainPasswordPolicy ComplexityEnabled : True DistinguishedName : DC=contoso,DC=net LockoutDuration : 00:30:00 LockoutObservationWindow : 00:30:00 LockoutThreshold : 0 MaxPasswordAge : 42:00:00 MinPasswordAge : 00:00:00 MinPasswordLength : 7 objectClass : {domainDNS} objectGuid : 01234567-89ab-cdef-0123-456789abcdef PasswordHistoryCount : 24 ReversibleEncryptionEnabled : FalseEn una ventana del símbolo del sistema administrativa, exporte un informe de directiva de grupo en formato HTML ejecutando
gpresult /h GPreport.htm. Abra el informe exportado (GPreport.htm) en una ventana del explorador y, a continuación, vea la configuración de directiva en Directivas de cuenta/Directiva de contraseñas.
¿Se configuró la directiva de contraseña de Active Directory local mediante directivas de contraseñas detalladas? Si es así, compruebe la directiva de contraseña resultante para el usuario de destino ejecutando el comando net user (net user <username> /domain):
C:\>net user User01 /domain
User name User01
Full Name User01
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 11/5/2020 1:57:43 PM
Password expires 12/17/2020 1:57:43 PM
Password changeable 11/5/2020 1:57:43 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon Never
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
¿La contraseña especificada es compatible con la directiva de contraseña de Active Directory local, pero el problema persiste? Si es así, compruebe si está usando Azure AD Password Protection en el entorno local de AD DS o si tiene instalado algún software de filtro de contraseña de terceros en los controladores de dominio.