Delen via

Richtlijnen voor probleemoplossing voor Windows LAPS

Deze handleiding bevat de basisconcepten die u kunt gebruiken bij het oplossen van problemen met windows Local Administrator Password Solution (Windows LAPS).

Windows LAPS is een Windows-functie die automatisch het wachtwoord van een lokaal beheerdersaccount op uw aan Microsoft Entra gekoppelde of Windows Server Active Directory-gekoppelde apparaten beheert en er een back-up van maakt. U kunt Windows LAPS ook gebruiken om het wachtwoord van het DSRM-account (Directory Services Repair Mode) automatisch te beheren en er een back-up van te maken op uw Windows Server Active Directory-domeincontrollers. Een geautoriseerde beheerder kan het DSRM-wachtwoord ophalen en gebruiken. Zie Wat is Windows LAPS?

Notitie

  • Dit artikel is bedoeld voor Windows LAPS (de nieuwe functie), niet voor de verouderde LAPS of de oudere versie van LAPS.
  • In dit artikel worden slechts enkele van de belangrijkste hoofdoorzaken vermeld. Andere oorzaken kunnen ook bestaan, maar blijven onvindbaar.
  • De volgende lijst bevat de meest voorkomende gebeurtenis-id's en bevat mogelijk niet alle Windows LAPS-gebeurtenissen.

Problemen met Windows LAPS oplossen met Windows-gebeurtenissen

Als u Windows LAPS-gebeurtenissen wilt weergeven, gaat u naar >>>Operational in Logboeken.

Notitie

  • Windows LAPS-verwerking begint met gebeurtenis-id 10003 en eindigt met gebeurtenis-id 10004.
  • Als de verwerking van de huidige cyclus om welke reden dan ook mislukt, wordt gebeurtenis-id 10005 geregistreerd.

Windows LAPS heeft twee scenario's:

  • Windows LAPS Active Directory

    Clientcomputers zijn geconfigureerd voor het opslaan van het wachtwoord in Active Directory.

  • Windows LAPS Azure Microsoft Entra ID

    Clientcomputers zijn geconfigureerd voor het opslaan van het wachtwoord in Microsoft Entra-id.

De volgende tabel bevat de gebeurtenis-id's die zijn vastgelegd in verschillende scenario's:

Gebeurtenis-id Scenariobeschrijving
10006 Windows LAPS Active Directory
10011 Windows LAPS Active Directory
10012 Windows LAPS Active Directory
10013 Windows LAPS Active Directory en Microsoft Entra ID
10017 Windows LAPS Active Directory
10019 Windows LAPS Active Directory en Microsoft Entra ID
10025 Windows LAPS Microsoft Entra ID
10026 Windows LAPS Microsoft Entra ID
10027 Windows LAPS Active Directory en Microsoft Entra ID
10028 Windows LAPS Microsoft Entra ID
10032 Windows LAPS Microsoft Entra ID
10034 Windows LAPS Active Directory
10035 Windows LAPS Active Directory
10048 Windows LAPS Active Directory en Microsoft Entra ID
10049 Windows LAPS Active Directory en Microsoft Entra ID
10056 Windows LAPS Active Directory
10057 Windows LAPS Active Directory
10059 Windows LAPS Microsoft Entra ID
10065 Windows LAPS Active Directory

Gebeurtenis-id 10006

LAPS password encryption is required but the Active Directory domain is not yet at 2016 domain functional level. The password was not updated and no changes will be made until this is corrected

Windows LAPS versleutelt standaard het wachtwoord van het beheerde account op de clientcomputer. Ter ondersteuning van de versleuteling moet het functionele domeinniveau Windows Server 2016 zijn.

Oplossing

  1. Verhoog zo nodig het functionele domeinniveau.
  2. Schakel het groepsbeleid voor wachtwoordversleuteling inschakelen voor clientcomputers uit.

    Notitie

    Het wordt afgeraden de wachtwoordversleuteling uit te schakelen die is opgeslagen op de domeincontroller.

Gebeurtenis-id 10011

LAPS failed when querying Active Directory for the current computer state

Windows LAPS voert periodiek (elk uur) een query uit op Active Directory voor de computerstatus en de clientcomputer gebruikt de Netlogon-service om een domeincontroller erop te detecteren.

Oplossing

Als u zich in een omgeving bevindt waar u alleen verbinding hebt met een beschrijfbare domeincontroller, opent u de netwerkpoorten tussen de clientcomputer en de domeincontroller.

Zie Serviceoverzicht en netwerkpoortvereisten voor Windows voor meer informatie.

Gebeurtenis-id 10012

The Active Directory schema has not been updated with the necessary LAPS attributes

Als u Windows LAPS wilt introduceren, moet u het schema uitbreiden met Windows LAPS-kenmerken. Als u Windows LAPS gebruikt in de verouderde LAPS-emulatiemodus, moet u het schema uitbreiden met de verouderde LAPS-kenmerken. Dit kan een van de volgende oorzaken hebben:

  • Hoofdoorzaak 1

    Het schema is niet uitgebreid met de nieuwe Windows LAPS-kenmerken.

  • Hoofdoorzaak 2

    Er bestaat een tijdelijke Active Directory-replicatie tussen de lokale domeincontroller (DC) en de primaire domeincontroller (PDC).

  • Hoofdoorzaak 3

    Een Active Directory-replicatieprobleem op de lokale domeincontroller.

Oplossing voor hoofdoorzaak 1

Voer de Update-LapsADSchema PowerShell-cmdlet uit om het Active Directory-schema bij te werken met behulp van schemabeheerdersbevoegdheden.

Als u de verouderde LAPS-emulatie gebruikt, kunt u het schema uitbreiden met de Update-AdmPwdADSchema PowerShell-cmdlet (voor deze actie moet u eerst het verouderde LAPS-product installeren).

Oplossing voor hoofdoorzaak 2

Vanwege de replicatielatentie zijn de schemakenmerken niet gerepliceerd naar de lokale domeincontroller. U kunt de LDP- of ADSIEDIT-module gebruiken om te bepalen of de Windows LAPS-schemakenmerken zijn gerepliceerd. Active Directory-replicatie van de schemapartitie met de schemamaster afdwingen met behulp van de volgende opdracht:

repadmin /replicate DC2.contoso.com PDC.contoso.com CN=Schema,CN=Configuration,DC=contoso,dc=com /force

Notitie

  • Vervang DC2.contoso.com door de naam van de domeincontroller die is geïdentificeerd door gebeurtenis-id 10055 in de Windows LAPS-gebeurtenislogboeken.
  • Vervang door PDC.contoso.com de naam van de PDC in uw omgeving. U kunt de PDC identificeren met behulp van de nltest /dsgetdc:contoso.com /pdc /force opdracht.

Oplossing voor hoofdoorzaak 3

Er is een active Directory-replicatieprobleem tussen de lokale domeincontroller en andere domeincontrollers in het domein. U kunt gebeurtenis-id 10055 weergeven in windows LAPS-gebeurtenislogboeken om de naam van de domeincontroller te controleren en de repadmin /showreps opdracht uit te voeren om replicatiefouten te identificeren.

Zie Problemen met Active Directory-replicatie oplossen voor meer informatie.

Gebeurtenis-id 10013

LAPS failed to find the currently configured local administrator account

Windows LAPS leest de naam van de lokale beheerder uit groepsbeleid of de Intune-instellingsnaam van het beheerdersaccount dat moet worden beheerd. Als deze instelling niet is geconfigureerd, wordt gezocht naar het lokale account met een beveiligings-id (SID) die eindigt op 500 (administrator). Als Windows LAPS het account niet kan vinden, wordt gebeurtenis-id 10013 geregistreerd.

Vanaf Windows 11, versie 24H2 en Windows Server 2025 is er een functie toegevoegd om de beheerde gebruiker te maken. Zie de modi voor windows LAPS-accountbeheer voor meer informatie. Voor eerdere versies moet het account al bestaan.

Oplossing

Controleer en zorg ervoor dat de beheerde gebruiker aanwezig is in lokale gebruikers met behulp van een van de volgende methoden:

  • Gebruik lusrmgr.msc om lokale gebruikers en groepen te openen.
  • Voer de opdracht net user uit.

    Notitie

    Zorg ervoor dat er geen volgspaties aan het begin en het einde van het account zijn.

Gebeurtenis-id 10017

LAPS failed to update Active Directory with the new password. The current password has not been modified

Dit is een status gebeurtenis aan het einde van een Windows LAPS-verwerkingscyclus. Deze gebeurtenis heeft geen hoofdoorzaak, dus u moet de eerdere verwerking bekijken van de gebeurtenissen waarbij Windows LAPS een probleem heeft aangetroffen.

Oplossing

  1. Open een PowerShell-opdrachtprompt met verhoogde bevoegdheid en voer de Invoke-lapsPolicyProcessing cmdlet uit.
  2. Open Logboeken en ga naar >>>Operational.
  3. Filter op de meest recente verwerking van gebeurtenissen vanaf gebeurtenis-id 10003 tot en met gebeurtenis-id 10005.
  4. Los eventuele fouten vóór gebeurtenis-id 10017 op.

Gebeurtenis-id 10019

LAPS failed to update the local admin account with the new password

Windows LAPS kan het wachtwoord van het lokaal beheerde gebruikersaccount op de lokale computer niet bijwerken. Windows LAPS heeft de beheerde gebruiker gevonden, maar had problemen met het wijzigen van het wachtwoord.

Oplossing

  • Bepaal of er een resourceprobleem is, zoals een geheugenlek of een probleem met onvoldoende geheugen. Start de computer opnieuw op om te controleren of u een vergelijkbare fout ziet.
  • Een toepassing of filterstuurprogramma van derden dat dezelfde beheerde gebruiker beheert, staat Windows LAPS niet toe het wachtwoord te beheren.

Gebeurtenis-id 10025

Azure discovery failed

Het apparaat (Microsoft Entra-gekoppeld of hybride gekoppeld) dat is geconfigureerd met Windows LAPS voor het opslaan van wachtwoorden in Microsoft Entra-id, moet het eindpunt voor enterpriseregistratie detecteren.

Oplossing

  1. Controleer of u verbinding kunt maken met het registratie-eindpunt (https://enterpriseregistration.windows.net). Als u Microsoft Edge of Google Chrome opent en verbinding maakt met het registratie-eindpunt (https://enterpriseregistration.windows.net), krijgt u het bericht 'Niet-ondersteunde methode of eindpunt'. Dit bericht betekent dat u verbinding kunt maken met het eindpunt voor enterpriseregistratie.
  2. Als u een proxyserver gebruikt, controleert u of uw proxy is geconfigureerd in de systeemcontext. U kunt een opdrachtprompt met verhoogde bevoegdheid openen en de netsh winhttp show proxy opdracht uitvoeren om de proxy weer te geven.

Gebeurtenis-id 10026

LAPS was unable to authenticate to Azure using the device identity

Dit probleem treedt op als er een probleem is met het primaire vernieuwingstoken (PRT) van het apparaat.

Oplossing

  1. Controleer of u de Windows LAPS-functie hebt ingeschakeld in uw Azure-tenant.
  2. Controleer of de machine niet is verwijderd of uitgeschakeld in uw Azure-tenant.
  3. Open een opdrachtprompt, voer de dsregcmd /status opdracht uit en controleer de volgende secties op eventuele fouten:
    • Device status
    • SSO data
    • Diagnostic data
  4. Controleer het foutbericht met behulp van de opdracht dsregcmd en los het probleem op.
  5. Problemen met hybride apparaten van Microsoft Entra oplossen met behulp van problemen met hybride apparaten die zijn toegevoegd aan Microsoft Entra.
  6. Gebruik het hulpprogramma Voor probleemoplosser voor apparaatregistratie om problemen met apparaatregistratie te identificeren en op te lossen.
  7. Als u een foutbericht ontvangt, raadpleegt u Microsoft Entra-verificatie- en autorisatiefoutcodes voor de beschrijving van de fout en verdere probleemoplossing.

Gebeurtenis-id 10027

LAPS was unable to create an acceptable new password. Please verify that the LAPS password length and complexity policy is compatible with the domain and local password policy settings

Windows LAPS kan het wachtwoord van het lokaal beheerde gebruikersaccount op de lokale computer niet bijwerken. Windows LAPS heeft de beheerde gebruiker gevonden, maar had problemen met het wijzigen van het wachtwoord.

Oplossing

  1. Controleer het wachtwoordbeleid op de computer door de net accounts opdracht uit te voeren in een opdrachtprompt. Valideer een van de wachtwoordbeleidsregels als ze niet voldoen aan de criteria van het door Windows LAPS geconfigureerde wachtwoordbeleid, zoals de wachtwoordcomplexiteit, wachtwoordlengte of wachtwoordduur.

  2. Bepaal of de instelling wordt toegepast via een lokaal groepsbeleidsobject (GPO), een groepsbeleidsobject voor domeinen of lokale beveiligingsinstellingen door de opdracht uit te GPRESULT /h voeren. Wijzig het groepsbeleidsobject of de beveiligingsinstellingen zodat deze overeenkomen met de wachtwoordinstellingen van het Windows LAPS-groepsbeleidsobject. De instellingen worden geconfigureerd via de instelling Wachtwoordinstellingen in GPO of Intune (MDM).

    Notitie

    Uw wachtwoordbeleid dat is geconfigureerd in Active Directory, lokaal groepsbeleidsobject of beveiligingsinstellingen, moet overeenkomen met de windows LAPS-wachtwoordinstellingen, of moet instellingen bevatten die lager zijn dan die in de configuratie windows LAPS-wachtwoordinstellingen.

  3. Controleer of u wachtwoordfilters van derden hebt die het instellen van het wachtwoord mogelijk blokkeren.

    1. Download Process Explorer.

    2. Pak Process Explorer uit en voer deze uit als beheerder.

    3. Selecteer het LSASS.exe proces in het linkerdeelvenster.

    4. Selecteer Weergave>weergeven, onderste deelvenster.

    5. Selecteer WEERGAVE-DLL's>.>

      Schermopname van Process Explorer met geladen dll's of modules.

  4. In het onderste deelvenster worden de geladen DLL's of modules weergegeven. Bepaal of er modules van derden zijn met behulp van het veld Bedrijfsnaam (andere modules dan Microsoft).

    Bekijk de DLL-lijst om te bepalen of de naam van de DLL van derden (module) enkele trefwoorden heeft, zoals 'beveiliging', 'wachtwoord' of 'beleid'. Verwijder of stop de toepassing of service die mogelijk gebruikmaakt van dit DLL-bestand.

Machine toegevoegd aan Microsoft Entra-id

Microsoft Entra ID of hybride gekoppelde apparaten kunnen worden beheerd met behulp van Mobile Device Management (MDM) (Intune), lokale GPO's of soortgelijke software van derden.

  1. Controleer het wachtwoordbeleid op de computer door de net accounts opdracht uit te voeren in een opdrachtprompt. Valideer een van de wachtwoordbeleidsregels als ze niet voldoen aan de criteria van het door Windows LAPS geconfigureerde wachtwoordbeleid, zoals de wachtwoordcomplexiteit, wachtwoordlengte of wachtwoordduur.
  2. Bepaal of het conflicterende beleid wordt toegepast via Intune, lokaal groepsbeleidsobject of een vergelijkbare software van derden, zoals Intune, om het wachtwoordbeleid op de computer te beheren.

Gebeurtenis-id 10028

LAPS failed to update Azure Active Directory with the new password

De Windows LAPS-clientcomputer werkt regelmatig wachtwoorden bij. Deze gebeurtenis wordt weergegeven als de clientcomputer die is geconfigureerd met Windows LAPS het wachtwoord niet kan bijwerken naar Microsoft Entra-id.

Oplossing

  1. Controleer of u de Windows LAPS-functie hebt ingeschakeld in uw Azure-tenant.
  2. Controleer of de machine niet is verwijderd of uitgeschakeld in uw Azure-tenant.
  3. Open een opdrachtprompt en voer de dsregcmd /status opdracht uit om de volgende secties te controleren op eventuele fouten:
    • Device status
    • SSO data
    • Diagnostic data
  4. Controleer het foutbericht met behulp van de opdracht dsregcmd en los het probleem op.
  5. Gebruik Problemen met hybride apparaten van Microsoft Entra oplossen om problemen met hybride apparaten met Microsoft Entra op te lossen.
  6. Gebruik het hulpprogramma Voor probleemoplosser voor apparaatregistratie om problemen met apparaatregistratie te identificeren en op te lossen.
  7. Als u een foutbericht ontvangt, raadpleegt u Microsoft Entra-verificatie- en autorisatiefoutcodes voor de beschrijving van de fout en verdere probleemoplossing.

Gebeurtenis-id 10032

LAPS was unable to authenticate to Azure using the device identity

Er zijn mogelijk problemen met betrekking tot Microsoft Entra-verificatie bij het gebruik van apparaat-PRT.

Oplossing

  1. Controleer of u de Windows LAPS-functie hebt ingeschakeld in uw Azure-tenant.
  2. Controleer of de machine niet is verwijderd of uitgeschakeld in uw Azure-tenant.
  3. Open een opdrachtprompt en voer de dsregcmd /status opdracht uit om de volgende secties te controleren op eventuele fouten:
    • Device status
    • SSO data
    • Diagnostic data
  4. Controleer het foutbericht met behulp van de opdracht dsregcmd en los het probleem op.
  5. Gebruik Problemen met hybride apparaten van Microsoft Entra oplossen om problemen met hybride apparaten met Microsoft Entra op te lossen.
  6. Gebruik het hulpprogramma Voor probleemoplosser voor apparaatregistratie om problemen met apparaatregistratie te identificeren en op te lossen.
  7. Als u een foutbericht ontvangt, raadpleegt u Microsoft Entra-verificatie- en autorisatiefoutcodes voor de beschrijving van de fout en verdere probleemoplossing.

Gebeurtenis-id 10034

The configured encryption principal is an isolated (ambiguous) name. This must be corrected before the configured account's password can be managed. Please specify the name in either user@domain.com or domain\user format.

De versleutelings-principal wordt geconfigureerd via de instelling Geautoriseerde wachtwoordontsleutels configureren met GPO of MDM (Intune). Het lijkt erop dat de instelling niet juist is geconfigureerd.

Oplossing

Corrigeer de configuratie van Intune of GPO. Deze instelling accepteert twee waarden:

  • SID van een domeingroep of gebruiker
  • Groepsnaam in <Domeinnaam>\<Groepsnaam>, <Domeinnaam>\<Gebruikersnaam> of <Gebruikersnaam>@<Domeinnaam>

Notitie

Controleer of er geen volgspaties aan het begin en het einde van de instelling zijn.

Gebeurtenis-id 10035

The configured encryption principal name could not be mapped to a known account. This must be corrected before the configured account's password can be managed.

De versleutelings-principal wordt geconfigureerd via de instelling Geautoriseerde wachtwoordontsleutels configureren met GPO of MDM (Intune). De instelling accepteert een SID of een domeinnaam in domeinnaam<\>groepsnaam<>, <domeinnaam>\<gebruikersnaam> of <gebruikersnaam>@<domeinnaam>. De fout treedt op wanneer de Windows LAPS-client een SID niet kan oplossen naar een naam of een naam naar een SID.

Oplossing

  1. Controleer of de domeingroep bestaat in Active Directory en niet is verwijderd.
  2. Als de groep zojuist is gemaakt, wacht u totdat de Active Directory-replicatie convergeert op de lokale domeincontroller van de clientcomputer.
  3. Gebruik het hulpprogramma Sysinternal PsGetSid om de SID of naam handmatig op te lossen.
    1. Download PsGetsid.
    2. Pak het gedownloade bestand uit en open een opdrachtprompt met verhoogde bevoegdheid op de clientcomputer waar u het probleem ondervindt.
    3. Voer de opdracht psgetsid -accepteula <SID> or <Name> uit. Gebruik de SID of naam die wordt vermeld in gebeurtenis-id 10035.
  4. Controleer of er active Directory-replicatiefouten in het forest zijn en los deze op. Zie Problemen met Active Directory-replicatie oplossen voor meer informatie.

Gebeurtenis-id 10048

The currently pending post-authentication reset timer has been retried the maximum allowed number attempts and will no longer be scheduled

De nieuwe poging na verificatie is het aantal bewerkingen voor opnieuw proberen om het wachtwoord opnieuw in te stellen met de juiste map (Microsoft Entra-id of Active Directory). Als dit aantal het maximum van 100 overschrijdt tijdens een opstartbewerking, wordt deze gebeurtenis geactiveerd.

Oplossing

  1. Identiteit als er een probleem is met het maken van verbinding met de juiste map, zoals Active Directory of Microsoft Entra-id.
  2. Los eventuele andere fouten op tijdens de verwerking van Windows LAPS-gebeurtenissen.

Gebeurtenis-id 10049

LAPS attempted to reboot the machine as a post-authentication action but the operation failed

Windows LAPS kan worden geconfigureerd voor een actie na verificatie met behulp van de instelling Acties na verificatie met GPO of MDM (Intune). In dit scenario is de instelling geconfigureerd om de computer opnieuw op te starten als er een actie na verificatie wordt gedetecteerd. Deze gebeurtenis geeft aan dat de computer niet opnieuw kan worden opgestart.

Oplossing

  1. Bepaal of er een toepassing is die het afsluiten van de computer blokkeert.
  2. Bepaal of u over de benodigde bevoegdheden beschikt om de computer af te sluiten.

Gebeurtenis-id 10056

LAPS failed to locate a writable domain controller

Windows LAPS-client maakt gebruik van LDAP-wijzigingsbewerking (Lightweight Directory Access Protocol) voor het schrijven van wachtwoorden naar Active Directory vanuit de Windows LAPS-client. Windows LAPS moet een beschrijfbare domeincontroller in het domein detecteren om het wachtwoord van het beheerde account te schrijven.

Oplossing

  1. Open een opdrachtprompt op de clientcomputer en voer de opdracht uit:

    nltest /dsgetdc:<Domain Name> /force /writable

    Als u fout 1355 krijgt (domeincontroller voor het domein kan niet worden gevonden), betekent dit dat u het beschrijfbare DC-detectieprobleem moet oplossen.

  2. Als u zich in een omgeving bevindt waar u alleen verbinding hebt met een beschrijfbare domeincontroller, opent u de netwerkpoorten tussen de clientcomputer en de domeincontroller. Zie Serviceoverzicht en netwerkpoortvereisten voor Windows voor meer informatie.

Gebeurtenis-id 10057

LAPS was unable to bind over LDAP to the domain controller with an <Error Code>:

Tijdens een geplande achtergrondverwerking moet Windows LAPS verbinding maken met een domeincontroller. Deze verwerking wordt uitgevoerd met behulp van de machinecontext. Deze fout wordt weergegeven als er een Active Directory-verificatieprobleem is tussen de clientcomputer en de domeincontroller.

Oplossing

  1. Controleer of het computeraccount niet is verwijderd in Active Directory.

  2. Valideer eventuele problemen met beveiligde kanalen tussen de client en de domeincontroller door een opdracht met verhoogde bevoegdheid uit te voeren:

    nltest /sc_query:<Domain Name>

  3. De computer opnieuw toevoegen aan het domein.

    Notitie

    Zorg ervoor dat u het wachtwoord van de lokale beheerder kent.

Gebeurtenis-id 10059

Azure returned a failure code

De gebeurtenis bevat ook een HTTP-fout. De fout treedt op bij het verbinden, verifiëren of bijwerken van het wachtwoord naar Microsoft Entra-id.

Oplossing

  1. Controleer of u verbinding kunt maken met het Microsoft Entra-registratie-eindpunt (https://enterpriseregistration.windows.net).
  2. Controleer of u de Windows LAPS-functie hebt ingeschakeld in uw Azure-tenant.
  3. Controleer of de machine niet is verwijderd of uitgeschakeld in uw Azure-tenant.
  4. Open een opdrachtprompt en voer de dsregcmd /status opdracht uit om de volgende secties te controleren op eventuele fouten:
    • Device status
    • SSO data
    • Diagnostic data
  5. Controleer het foutbericht met behulp van de opdracht dsregcmd en los het probleem op.
  6. Gebruik Problemen met hybride apparaten van Microsoft Entra oplossen om problemen met hybride apparaten met Microsoft Entra op te lossen.
  7. Gebruik het hulpprogramma Voor probleemoplosser voor apparaatregistratie om problemen met apparaatregistratie te identificeren en op te lossen.
  8. Als u een foutbericht ontvangt, raadpleegt u Microsoft Entra-verificatie- en autorisatiefoutcodes voor de beschrijving van de fout en verdere probleemoplossing.

Gebeurtenis-id 10065

LAPS received an LDAP_INSUFFICIENT_RIGHTS error trying to update the password using the legacy LAPS password attribute. You should update the permissions on this computer's container using the Update-AdmPwdComputerSelfPermission cmdlet, for example:

Deze fout treedt op omdat de Windows LAPS-clientcomputer wachtwoorden van de beheerde gebruiker moet schrijven.

Dit probleem kan ook optreden als u de machine verplaatst naar een andere organisatie-eenheid (OE) en de doel-OE niet beschikt over de zelfmachtiging voor de computer.

Oplossing

  1. Als u de Windows LAPS PowerShell-cmdlet niet hebt uitgevoerd om de selfmachtiging toe te wijzen aan het computeraccount, voert u de volgende cmdlet uit:

    Set-LapsADComputerSelfPermission -Identity <OU Name>

    Bijvoorbeeld:

    Set-LapsADComputerSelfPermission -Identity LAPSOU
Set-LapsADComputerSelfPermission -Identity OU=LAPSOU,DC=contoso,DC=Com

    Notitie

    U kunt een DN (distinguished name) gebruiken als u dezelfde naam hebt voor de organisatie-eenheid, maar in verschillende hiërarchieën.

  2. Controleer of het computeraccount de selfmachtiging heeft voor de organisatie-eenheid waar het computeraccount bestaat.

Aanmelden bij een domeincontroller met een domeinbeheerderbevoegdheden

  1. Open LDP.exe.

  2. Selecteer Verbinding>maken en configureer de server en poort als volgt:

    Schermopname van het hulpprogramma LDP met het venster Verbinding maken geopend.

  3. Selecteer >, configureer de volgende instellingen en selecteer VERVOLGENS OK.

    Schermopname van het hulpprogramma LDP met het venster Bind geopend.

  4. Selecteer Structuur weergeven>. Selecteer vervolgens in de vervolgkeuzelijst van BaseDN het domein waar uw clientcomputer zich bevindt.

    Schermopname van het hulpprogramma LDP met het venster Structuurweergave geopend.

  5. Blader door de domeinstructuur om de organisatie-eenheid te identificeren waar u de clientcomputers hebt. Klik met de rechtermuisknop op de organisatie-eenheid en selecteer Security descriptor>Edit.

    Schermopname van het hulpprogramma LDP met de domeinstructuur in het linkerdeelvenster.

  6. Sorteer de kolom Beheerder en zoek de volgende gebruikersrechten voor NT AUTHORITY\SELF machtigingen voor het msLAPS-Password kenmerk. Schermopname van het hulpprogramma LDP met het venster Security descriptor geopend en gesorteerd op de kolom Trustee.