Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come risolvere uno scenario in cui un utente o un amministratore non può reimpostare o modificare una password perché il criterio password Active Directory locale non lo consente.
Sintomi
Nella portale di Azure seguire questa procedura:
- Selezionare Microsoft Entra ID Users (Utenti ID>Entra Microsoft).
- Scegliere un utente dall'elenco.
- Selezionare il collegamento Reimposta password .
- Immettere una password temporanea da usare per l'utente.
- Selezionare il pulsante Reimposta password.
In questo scenario, viene visualizzato il messaggio di errore seguente:
Sfortunatamente, non è possibile reimpostare la password dell'utente perché i criteri locali non lo consentono. Esaminare i criteri locali per assicurarsi che siano configurati correttamente.
Causa
Il messaggio di errore viene inviato da un controller di dominio locale. Per ottenere altre informazioni sul problema, seguire questa procedura.
Note
Questa procedura richiede di abilitare i criteri di controllo del controller di dominio per gli eventi Di gestione account - Errore . Per altre informazioni, vedere Controllare la gestione degli account.
Passare a un controller di dominio locale.
Aprire lo snap-in Visualizzatore eventi. A tale scopo, selezionare Start, immettere eventvwr.msc e quindi premere INVIO.
Nella barra laterale del nodo Visualizzatore eventi (locale) espandere Log di Windows e quindi selezionare Sicurezza.
Cercare gli eventi di controllo che contengono ID evento 4724, Errore di controllo (nella colonna Parole chiave ) e Gestione account utente (nella colonna Categoria attività). Questi eventi dovrebbero essere simili all'esempio seguente:
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 11/5/2020 2:44:01 AM Event ID: 4724 Task Category: User Account Management Level: Information Keywords: Audit Failure User: N/A Computer: ADDS01.Contoso.net Description: An attempt was made to reset an account's password. Subject: Security ID: Contoso\MSOL_73c8a9aa6173 Account Name: MSOL_73c8a9aa6173 Account Domain: Contoso Logon ID: 0xF91C5C Target Account: Security ID: Contoso\User01 Account Name: User01 Account Domain: Contoso Event Xml: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> ... </System> </Event>
Questo esempio conferma che il writeback delle password funziona come previsto. Tuttavia, la password immessa non soddisfa i criteri password di Active Directory locali. I criteri potrebbero essere violati a causa della lunghezza della password, della complessità, dell'età o di altri requisiti.
Soluzione
Specificare una password che soddisfi i criteri password di Active Directory locali.
Prima di tutto, verificare le impostazioni correnti per i criteri password per poter determinare eventuali violazioni. Passare quindi al controller di dominio e usare uno o più dei metodi seguenti:
Da un controller di dominio locale aprire una finestra del prompt dei comandi amministrativa ed eseguire il comando net accounts :
C:\>net accounts Force user logoff how long after time expires?: Never Minimum password age (days): 0 Maximum password age (days): 42 Minimum password length: 7 Length of password history maintained: 24 Lockout threshold: Never Lockout duration (minutes): 30 Lockout observation window (minutes): 30 Computer role: PRIMARY The command completed successfully.In alternativa, aprire una finestra amministrativa di PowerShell e quindi eseguire il cmdlet Get-ADDefaultDomainPasswordPolicy :
PS C:\WINDOWS\system32> Get-ADDefaultDomainPasswordPolicy ComplexityEnabled : True DistinguishedName : DC=contoso,DC=net LockoutDuration : 00:30:00 LockoutObservationWindow : 00:30:00 LockoutThreshold : 0 MaxPasswordAge : 42:00:00 MinPasswordAge : 00:00:00 MinPasswordLength : 7 objectClass : {domainDNS} objectGuid : 01234567-89ab-cdef-0123-456789abcdef PasswordHistoryCount : 24 ReversibleEncryptionEnabled : FalseIn una finestra del prompt dei comandi amministrativa esportare un report di Criteri di gruppo in formato HTML eseguendo
gpresult /h GPreport.htm. Aprire il report esportato (GPreport.htm) in una finestra del browser e quindi visualizzare le impostazioni dei criteri in Criteri account/Criteri password.
I criteri password di Active Directory locali sono stati configurati usando criteri password con granularità fine? In tal caso, controllare i criteri password risultanti per l'utente di destinazione eseguendo il comando net user (net user <username> /domain):
C:\>net user User01 /domain
User name User01
Full Name User01
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 11/5/2020 1:57:43 PM
Password expires 12/17/2020 1:57:43 PM
Password changeable 11/5/2020 1:57:43 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon Never
Logon hours allowed All
Local Group Memberships
Global Group memberships *Domain Users
The command completed successfully.
La password immessa è conforme ai criteri password di Active Directory locali, ma il problema persiste? In tal caso, verificare se si usa la protezione password di Microsoft Entra nell'ambiente di Active Directory Domain Services locale o se è installato un software di filtro password di terze parti nei controller di dominio.
Contattaci per ricevere assistenza
In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.