Condividi tramite


Risolvere l'errore SSPR_0029: L'organizzazione non ha impostato correttamente la configurazione locale per la reimpostazione della password

Questo articolo illustra come risolvere l'errore di reimpostazione della password self-service (SSPR) "SSPR_0029: L'organizzazione non ha configurato correttamente la configurazione locale per la reimpostazione della password" che si verifica dopo che l'utente o l'amministratore immette e conferma una nuova password nella pagina reimpostazione della password self-service.

Sintomi

Un utente o un amministratore esegue i passaggi seguenti e quindi riceve un SSPR_0029 errore:

  1. In una pagina di accesso dell'account Microsoft o in una pagina di accesso di Microsoft Azure nel https://login.microsoftonline.com dominio, un utente o un amministratore seleziona Non è possibile accedere all'account?, Ha dimenticato la password o reimpostarla ora.

  2. L'utente o l'amministratore seleziona il tipo di account aziendale o dell'istituto di istruzione. Vengono quindi reindirizzati alla pagina della reimpostazione della password self-service all'indirizzo https://passwordreset.microsoftonline.com per avviare il flusso Di nuovo nell'account.

  3. Nella schermata Chi sei? l'utente o l'amministratore immette l'ID utente, completa una richiesta di sicurezza senza distinzione tra maiuscole e minuscole e quindi seleziona Avanti.

  4. Nella schermata Perché si verificano problemi di accesso? l'utente o l'amministratore seleziona Ho dimenticato la password>Avanti.

  5. Nella schermata scegliere una nuova password, l'utente o l'amministratore immette e conferma una nuova stringa di password e quindi seleziona Fine. Viene visualizzata una schermata Dispiaciuta e viene visualizzato il messaggio seguente:

    SSPR_0029: l'organizzazione non ha configurato correttamente la configurazione locale per la reimpostazione della password.

    Gli amministratori possono trovare altre informazioni nell'articolo sulla risoluzione dei problemi di writeback delle password. Se non si è un amministratore, è possibile specificare queste informazioni quando si contatta l'amministratore.

Causa 1: Non è possibile usare il writeback delle password per reimpostare la password di un amministratore di Windows Active Directory sincronizzato

Si è un amministratore di Windows Active Directory sincronizzato che appartiene (o usato per appartenere) a un gruppo protetto Active Directory locale e non è possibile usare la reimpostazione della password self-service e della password per reimpostare la password locale.

Soluzione: Nessuno (il comportamento è per progettazione)

Per la sicurezza, gli account amministratore esistenti all'interno di un gruppo protetto di Active Directory locale non possono essere usati insieme al writeback delle password. Gli amministratori possono modificare la password nel cloud, ma non possono reimpostare una password dimenticata. Per altre informazioni, vedere Funzionamento del writeback della reimpostazione della password self-service in Microsoft Entra ID.

Causa 2: l'account di Active Directory Domain Services Connector non dispone delle autorizzazioni di Active Directory corrette

L'utente sincronizzato non dispone delle autorizzazioni corrette in Active Directory.

Soluzione: Risolvere i problemi di autorizzazione di Active Directory

Per risolvere i problemi che influiscono sulle autorizzazioni di Active Directory, vedere Diritti di accesso e autorizzazioni di writeback delle password.

Soluzione alternativa: specificare come destinazione un controller di dominio Active Directory diverso

Note

Il writeback delle password ha una dipendenza dall'API legacy NetUserGetInfo. L'API NetUserGetInfo richiede un set complesso di autorizzazioni consentite in Active Directory che può essere difficile da identificare, soprattutto quando un server Microsoft Entra Connect è in esecuzione in un controller di dominio. Per altre informazioni, vedere Applicazioni che usano NetUserGetInfo e API simili si basano sull'accesso in lettura a determinati oggetti di Active Directory.

Si ha uno scenario in cui è in esecuzione un server Microsoft Entra Connect in un controller di dominio e non è possibile risolvere le autorizzazioni di Active Directory? In questo caso, è consigliabile distribuire il server Microsoft Entra Connect in un server membro anziché in un controller di dominio. In alternativa, configurare il connettore Di Active Directory in modo che usi solo i controller di dominio preferiti attenendosi alla procedura seguente:

  1. Nel menu Start cercare e selezionare Synchronization Service Manager.

  2. Nella finestra Synchronization Service Manager selezionare la scheda Connettori.

  3. Fare clic con il pulsante destro del mouse sul connettore Active Directory dall'elenco dei connettori e quindi scegliere Proprietà.

  4. Nel riquadro Progettazione connettori della finestra di dialogo Proprietà selezionare Configura partizioni directory.

  5. Nel riquadro Configura partizioni directory selezionare l'opzione Usa solo controller di dominio preferiti e quindi selezionare Configura.

  6. Nella finestra di dialogo Configura controller di dominio preferiti aggiungere uno o più nomi di server che puntano a un controller di dominio diverso (o controller di dominio) rispetto all'host locale.

  7. Per salvare le modifiche e tornare alla finestra principale, selezionare OK tre volte, inclusa nella finestra di dialogo Avviso che mostra una dichiarazione di non responsabilità di configurazione avanzata.

Causa 3: I server non possono effettuare chiamate remote a Security Accounts Manager (SAM)

In questo caso vengono registrati due eventi di errore dell'applicazione simili: ID evento 33004 e 6329. L'ID evento 6329 è diverso da 33004 perché contiene un ERROR_ACCESS_DENIED codice di errore nell'analisi dello stack quando il server tenta di effettuare una chiamata remota a SAM:

ERR_: MMS(####): admaexport.cpp(2944): Impossibile acquisire informazioni utente: Contoso\MSOL_############. Codice errore: ERROR_ACCESS_DENIED

Questa situazione può verificarsi se il server Microsoft Entra Connect o il controller di dominio ha o ha un'impostazione di sicurezza avanzata applicata con un oggetto Criteri di gruppo di dominio o nei criteri di sicurezza locali del server. Per verificare se questo è il caso, seguire questa procedura:

  1. Aprire una finestra del prompt dei comandi amministrativa ed eseguire i comandi seguenti:

    md C:\Temp
    gpresult /h C:\Temp\GPreport.htm
    start C:\Temp\GPreport.htm
    
  2. Aprire il file C:\Temp\gpresult.htm nel Web browser ed espandere Impostazioni dettagli>computer Criteri>>Impostazioni>di Windows Impostazioni impostazioni impostazioni di Windows Criteri>di sicurezza Criteri locali/Opzioni>di sicurezza Accesso di rete. Controllare quindi se si dispone di un'impostazione denominata Accesso alla rete: Limitare i client autorizzati a effettuare chiamate remote a SAM.

  3. Per aprire lo snap-in Criteri di sicurezza locali, selezionare Start, immettere secpol.msc, premere INVIO e quindi espandere Criteri>locali Espandi opzioni di sicurezza.

  4. Nell'elenco dei criteri selezionare Accesso alla rete: Limitare i client autorizzati a effettuare chiamate remote a SAM. La colonna Impostazione di sicurezza mostrerà Non definito se l'impostazione non è abilitata o visualizza un O:BAG:... valore del descrittore di sicurezza se l'impostazione è abilitata. Se l'impostazione è abilitata, è anche possibile selezionare l'icona Proprietà per visualizzare l'elenco Controllo di accesso (ACL) attualmente applicato.

    Note

    Per impostazione predefinita, questa impostazione di criterio è disattivata. Quando questa impostazione viene applicata a un dispositivo tramite un oggetto Criteri di gruppo o un'impostazione di Criteri locali, viene creato un valore del Registro di sistema denominato RestrictRemoteSam nel percorso del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Tuttavia, questa impostazione del Registro di sistema può essere difficile da cancellare dopo che è stata definita e applicata al server. La disabilitazione dell'impostazione di Criteri di gruppo o la cancellazione dell'opzione Definisci questa impostazione di criteri in Console Gestione Criteri di gruppo non rimuove la voce del Registro di sistema. Pertanto, il server limita ancora i client autorizzati a effettuare chiamate remote a SAM.

    Come si verifica con precisione che il server Microsoft Entra Connect o il controller di dominio limita le chiamate remote a SAM? Verificare se la voce del Registro di sistema rimane presente eseguendo il cmdlet Get-ItemProperty in PowerShell:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
    

L'output di PowerShell mostra che è ancora presente una voce del Registro di sistema RestrictRemoteSam ? In tal caso, sono disponibili due possibili soluzioni.

Soluzione 1: Aggiungere l'account del connettore di Active Directory Domain Services all'elenco di utenti consentiti

Mantenere l'accesso alla rete: limitare i client autorizzati a effettuare chiamate remote all'impostazione dei criteri SAM abilitata e applicata nel server Microsoft Entra Connect, ma aggiungere l'account del connettore Dominio di Active Directory Services (AD DS) (account MSOL_) all'elenco degli utenti consentiti. Per istruzioni, vedere i passaggi seguenti:

  1. Se non si conosce il nome dell'account del connettore di Active Directory Domain Services, vedere Identificare l'account del connettore di Active Directory Domain Services.

  2. Nello snap-in Criteri di gruppo o Criteri di sicurezza locali tornare alla finestra di dialogo delle proprietà per tale impostazione di criterio.

  3. Selezionare Modifica sicurezza per visualizzare la finestra di dialogo Impostazioni di sicurezza per Accesso remoto a SAM.

  4. Nell'elenco Gruppi o nomi utente selezionare Aggiungi per visualizzare la finestra di dialogo Seleziona utenti o gruppi. Nella casella Immettere i nomi degli oggetti da selezionare immettere il nome dell'account del connettore di Active Directory Domain Services (account MSOL_) e quindi selezionare OK per uscire da tale finestra di dialogo.

  5. Selezionare l'account del connettore di Active Directory Domain Services nell'elenco. Nella riga Accesso remoto in Autorizzazioni per <nome> account selezionare Consenti.

  6. Selezionare OK due volte per accettare le modifiche alle impostazioni dei criteri e tornare all'elenco delle impostazioni dei criteri.

  7. Aprire una finestra del prompt dei comandi amministrativa ed eseguire il comando gpupdate per forzare un aggiornamento di Criteri di gruppo:

    gpupdate /force
    

Soluzione 2: Rimuovere l'accesso alla rete: limitare i client autorizzati a effettuare chiamate remote all'impostazione dei criteri SAM , quindi eliminare manualmente la voce del Registro di sistema RestrictRemoteSam

  1. Se l'impostazione di sicurezza viene applicata dai criteri di sicurezza locali, andare al passaggio 4.

  2. Aprire lo snap-in Console Gestione Criteri di gruppo da un controller di dominio e modificare il rispettivo oggetto Criteri di gruppo di dominio.

  3. Espandere Criteri>di configurazione>computer Impostazioni di windows Impostazioni>>di sicurezza Configurazione>computer Opzioni di sicurezza criteri>locali.

  4. Nell'elenco delle opzioni di sicurezza selezionare Accesso alla rete: Limitare i client autorizzati a effettuare chiamate remote a SAM, aprire Proprietà e quindi disabilitare Definisci questa impostazione di criterio.

  5. Aprire una finestra del prompt dei comandi amministrativa ed eseguire il comando gpupdate per forzare un aggiornamento di Criteri di gruppo:

    gpupdate /force
    
  6. Per generare un nuovo report dei risultati di Criteri di gruppo (GPreport.htm), eseguire il comando gpresult e quindi aprire il nuovo report in un Web browser:

    md C:\Temp
    gpresult /h C:\Temp\GPreport.htm
    start C:\Temp\GPreport.htm
    
  7. Controllare il report per assicurarsi che l'impostazione dei criteri per Accesso alla rete: limitare i client autorizzati a effettuare chiamate remote a SAM non è definita.

  8. Aprire una console di PowerShell amministrativa.

  9. Per rimuovere la voce del Registro di sistema RestrictRemoteSam , eseguire il cmdlet Remove-ItemProperty :

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
    

    Note

    Se si elimina la voce del Registro di sistema RestrictRemoteSam senza rimuovere l'impostazione Oggetto Criteri di gruppo di dominio, questa voce del Registro di sistema verrà ricreata nel ciclo di aggiornamento successivo di Criteri di gruppo e l'errore SSPR_0029 verrà ripetuto.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.