Auf Englisch lesen

Freigeben über

Problembehandlung bei Kennwortzurücksetzungen, die von einer lokalen Richtlinie blockiert werden

  • Artikel

Dieser Artikel hilft Ihnen bei der Problembehandlung eines Szenarios, in dem ein Benutzer oder Administrator ein Kennwort nicht zurücksetzen oder ändern kann, da die lokales Active Directory Kennwortrichtlinie dies unzulässig macht.

Symptome

In der Azure-Portal führen Sie die folgenden Schritte aus:

  1. Wählen Sie Microsoft Entra ID>Benutzer aus.
  2. Wählen Sie einen Benutzer aus der Liste aus.
  3. Wählen Sie den Link "Kennwort zurücksetzen" aus.
  4. Geben Sie ein temporäres Kennwort ein, das der Benutzer verwenden soll.
  5. Wählen Sie die Schaltfläche Kennwort zurücksetzen aus.

In diesem Fall wird die folgende Fehlermeldung angezeigt:

Leider können Sie das Kennwort dieses Benutzers nicht zurücksetzen, da es in Ihrer lokalen Richtlinie nicht zulässig ist. Überprüfen Sie Ihre lokale Richtlinie, um sicherzustellen, dass sie ordnungsgemäß eingerichtet ist.

Ursache

Die Fehlermeldung wird von einem lokalen Domänencontroller gesendet. Führen Sie die folgenden Schritte aus, um weitere Informationen zum Problem zu erhalten.

Hinweis

Für dieses Verfahren müssen Sie die Überwachungsrichtlinie des Domänencontrollers für die Kontoverwaltung aktivieren – Fehlerereignisse . Weitere Informationen finden Sie unter Überwachen der Kontoverwaltung.

  1. Wechseln Sie zu einem lokalen Domänencontroller.

  2. Öffnen Sie das Ereignisanzeige Snap-In. Wählen Sie hierzu "Start" aus, geben Sie "eventvwr.msc" ein, und drücken Sie dann die EINGABETASTE.

  3. Erweitern Sie unter dem Knoten Ereignisanzeige (Lokal) in der Randleiste Windows-Protokolle, und wählen Sie dann "Sicherheit" aus.

  4. Suchen Sie nach Überwachungsereignissen, die Ereignis-ID 4724, Überwachungsfehler (in der Spalte "Schlüsselwörter") und Die Benutzerkontenverwaltung (in der Spalte "Vorgangskategorie") enthalten. Diese Ereignisse sollten dem folgenden Beispiel ähneln:

    Output 
    Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          11/5/2020 2:44:01 AM
Event ID:      4724
Task Category: User Account Management
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      ADDS01.Contoso.net
Description:
An attempt was made to reset an account's password.

Subject:
    Security ID:        Contoso\MSOL_73c8a9aa6173
    Account Name:       MSOL_73c8a9aa6173
    Account Domain:     Contoso
    Logon ID:           0xF91C5C

Target Account:
   Security ID:        Contoso\User01
   Account Name:       User01
   Account Domain:     Contoso

Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    ...
  </System>
</Event>

In diesem Beispiel wird bestätigt, dass das Kennwortrückschreiben erwartungsgemäß funktioniert. Das eingegebene Kennwort entspricht jedoch nicht der lokalen Active Directory-Kennwortrichtlinie. Die Richtlinie kann aufgrund von Kennwortlänge, Komplexität, Alter oder anderen Anforderungen verletzt werden.

Lösung

Geben Sie ein Kennwort an, das der lokalen Active Directory-Kennwortrichtlinie entspricht.

Überprüfen Sie zunächst die aktuellen Einstellungen für die Kennwortrichtlinie, um verstöße zu ermitteln. Wechseln Sie dann zum Domänencontroller, und verwenden Sie eine oder mehrere der folgenden Methoden:

  • Öffnen Sie auf einem lokalen Domänencontroller ein Fenster mit administrativen Eingabeaufforderungen, und führen Sie den Befehl "Net Accounts " aus:

    Output 
    C:\>net accounts

Force user logoff how long after time expires?:       Never
Minimum password age (days):                          0
Maximum password age (days):                          42
Minimum password length:                              7
Length of password history maintained:                24
Lockout threshold:                                    Never
Lockout duration (minutes):                           30
Lockout observation window (minutes):                 30
Computer role:                                        PRIMARY
The command completed successfully.

  • Öffnen Sie alternativ ein Administratives PowerShell-Fenster, und führen Sie dann das Cmdlet Get-ADDefaultDomainPasswordPolicy aus:

    Output 
    PS C:\WINDOWS\system32> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=contoso,DC=net
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42:00:00
MinPasswordAge              : 00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : 01234567-89ab-cdef-0123-456789abcdef
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

  • Exportieren Sie in einem Administrativen Eingabeaufforderungsfenster einen Gruppenrichtlinienbericht im HTML-Format, indem Sie ausführen gpresult /h GPreport.htm. Öffnen Sie den exportierten Bericht (GPreport.htm) in einem Browserfenster, und zeigen Sie dann die Richtlinieneinstellungen unter Kontorichtlinien/Kennwortrichtlinie an.

    Screenshot eines Gruppenrichtlinienberichts H T M L. Weitere Informationen finden Sie unter

Wurde die lokale Active Directory-Kennwortrichtlinie mithilfe fein abgestimmter Kennwortrichtlinien konfiguriert? Wenn ja, überprüfen Sie die resultierende Kennwortrichtlinie für den Zielbenutzer, indem Sie den Net-Benutzerbefehl ausführen (net user <username> /domain):

Output 
C:\>net user User01 /domain

User name                    User01
Full Name                    User01
Comment
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            11/5/2020 1:57:43 PM
Password expires             12/17/2020 1:57:43 PM
Password changeable          11/5/2020 1:57:43 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   Never

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *Domain Users
The command completed successfully.

Ist das eingegebene Kennwort mit der lokalen Active Directory-Kennwortrichtlinie kompatibel, aber das Problem bleibt bestehen? Überprüfen Sie in diesem Fall, ob Sie den Microsoft Entra-Kennwortschutz in Ihrer lokalen AD DS-Umgebung verwenden oder ob auf Ihren Domänencontrollern Kennwortfiltersoftware von Drittanbietern installiert ist.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.