Solución de problemas de restablecimientos de contraseña bloqueados por la directiva local
Este artículo le ayuda a solucionar problemas de un escenario en el que un usuario o administrador no puede restablecer ni cambiar una contraseña porque la directiva de contraseñas de Active Directory local no la permite.
Síntomas
En Azure Portal, realizará los pasos siguientes:
- Seleccione Microsoft Entra ID>Usuarios.
- Elija un usuario de la lista.
- Seleccione el vínculo Restablecer contraseña .
- Escriba una contraseña temporal para que el usuario la use.
- Seleccione el botón Restablecer contraseña.
En este escenario, recibirá el siguiente mensaje de error:
Desafortunadamente, no se puede restablecer la contraseña de este usuario porque la directiva local no la permite. Revise la directiva local para asegurarse de que se ha configurado correctamente.
Causa
Un controlador de dominio local envía el mensaje de error. Para obtener más información sobre el problema, siga estos pasos.
Nota:
Este procedimiento requiere que habilite la directiva de auditoría del controlador de dominio para la administración de cuentas: eventos de error . Para obtener más información, consulte Auditar la administración de cuentas.
Vaya a un controlador de dominio local.
Abra el complemento Visor de eventos. Para ello, seleccione Inicio, escriba eventvwr.msc y presione Entrar.
En el nodo Visor de eventos (local) de la barra lateral, expanda Registros de Windows y, a continuación, seleccione Seguridad.
Busque eventos de auditoría que contengan id. de evento 4724, Error de auditoría (en la columna Palabras clave ) y Administración de cuentas de usuario (en la columna Categoría de tarea). Estos eventos deben ser similares al ejemplo siguiente:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 11/5/2020 2:44:01 AM Event ID: 4724 Task Category: User Account Management Level: Information Keywords: Audit Failure User: N/A Computer: ADDS01.Contoso.net Description: An attempt was made to reset an account's password. Subject: Security ID: Contoso\MSOL_73c8a9aa6173 Account Name: MSOL_73c8a9aa6173 Account Domain: Contoso Logon ID: 0xF91C5C Target Account: Security ID: Contoso\User01 Account Name: User01 Account Domain: Contoso Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> ... </System> </Event>
En este ejemplo se confirma que la escritura diferida de contraseñas funciona según lo previsto. Sin embargo, la contraseña especificada no cumple la directiva de contraseñas de Active Directory local. La directiva puede infringirse debido a la longitud de la contraseña, la complejidad, la edad u otros requisitos.
Solución
Proporcione una contraseña que cumpla la directiva de contraseñas de Active Directory local.
En primer lugar, compruebe la configuración actual de la directiva de contraseñas para poder determinar las infracciones. A continuación, vaya al controlador de dominio y use uno o varios de los métodos siguientes:
Desde un controlador de dominio local, abra una ventana del símbolo del sistema administrativo y ejecute el comando net accounts :
C:\>net accounts Force user logoff how long after time expires?: Never Minimum password age (days): 0 Maximum password age (days): 42 Minimum password length: 7 Length of password history maintained: 24 Lockout threshold: Never Lockout duration (minutes): 30 Lockout observation window (minutes): 30 Computer role: PRIMARY The command completed successfully.Como alternativa, abra una ventana de PowerShell administrativa y, a continuación, ejecute el cmdlet Get-ADDefaultDomainPasswordPolicy :
PS C:\WINDOWS\system32> Get-ADDefaultDomainPasswordPolicy ComplexityEnabled : True DistinguishedName : DC=contoso,DC=net LockoutDuration : 00:30:00 LockoutObservationWindow : 00:30:00 LockoutThreshold : 0 MaxPasswordAge : 42:00:00 MinPasswordAge : 00:00:00 MinPasswordLength : 7 objectClass : {domainDNS} objectGuid : 01234567-89ab-cdef-0123-456789abcdef PasswordHistoryCount : 24 ReversibleEncryptionEnabled : FalseEn una ventana del símbolo del sistema administrativo, exporte un informe de directiva de grupo en formato HTML ejecutando
gpresult /h GPreport.htm. Abra el informe exportado (GPreport.htm) en una ventana del explorador y, a continuación, vea la configuración de directiva en Directivas de cuenta/Directiva de contraseñas.
¿Se configuró la directiva de contraseña de Active Directory local mediante directivas de contraseña específicas? Si es así, compruebe la directiva de contraseña resultante para el usuario de destino ejecutando el comando net user (net user <username> /domain):
C:\>net user User01 /domain
User name User01
Full Name User01
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 11/5/2020 1:57:43 PM
Password expires 12/17/2020 1:57:43 PM
Password changeable 11/5/2020 1:57:43 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon Never
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
¿La contraseña especificada es compatible con la directiva de contraseña de Active Directory local, pero el problema persiste? Si es así, compruebe si usa la protección con contraseña de Microsoft Entra en el entorno de AD DS local o si tiene algún software de filtro de contraseña de terceros instalado en los controladores de dominio.
Ponte en contacto con nosotros para obtener ayuda
Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.