Partilhar via


Solucionar problemas do erro SSPR_0029: sua organização não definiu corretamente a configuração local para redefinição de senha

Este artigo ajuda você a solucionar o erro de redefinição de senha de autoatendimento (SSPR) "SSPR_0029: sua organização não definiu corretamente a configuração local para redefinição de senha" que ocorre depois que o usuário ou administrador insere e confirma uma nova senha na página SSPR.

Sintomas

Um usuário ou administrador executa as seguintes etapas e, em seguida, recebe um SSPR_0029 erro:

  1. Em uma página de entrada da conta da Microsoft ou da página de entrada do https://login.microsoftonline.com Microsoft Azure no domínio, um usuário ou administrador seleciona Não consegue acessar sua conta?, Esqueceu minha senha ou redefini-la agora.

  2. O usuário ou administrador seleciona o tipo de conta corporativa ou de estudante. Em seguida, eles são redirecionados para a página SSPR em https://passwordreset.microsoftonline.com para iniciar o fluxo Voltar à sua conta .

  3. Na tela Quem é você? , o usuário ou administrador insere sua ID de usuário, conclui um desafio de segurança captcha que não diferencia maiúsculas de minúsculas e seleciona Avançar.

  4. Na tela Por que você está tendo problemas para entrar?, o usuário ou administrador seleciona Esqueci minha senha>Avançar.

  5. Na tela escolher uma nova senha , o usuário ou administrador insere e confirma uma nova cadeia de caracteres de senha e seleciona Concluir. Em seguida, uma tela Desculpe é exibida e apresenta a seguinte mensagem:

    SSPR_0029: sua organização não definiu corretamente a configuração local para redefinição de senha.

    Se você for um administrador, poderá obter mais informações no artigo Solucionar problemas de write-back de senha. Se você não for um administrador, poderá fornecer essas informações quando entrar em contato com o administrador.

Causa 1: não é possível usar o write-back de senha para redefinir a senha de um administrador sincronizado do Windows Active Directory

Você é um administrador sincronizado do Windows Active Directory que pertence (ou costumava pertencer) a um grupo protegido do Active Directory local e não pode usar SSPR e write-back de senha para redefinir sua senha local.

Solução: Nenhum (o comportamento é por design)

Por segurança, as contas de administrador existentes em um grupo protegido local do Active Directory não podem ser usadas junto com o write-back de senha. Os administradores podem alterar sua senha na nuvem, mas não podem redefinir uma senha esquecida. Para obter mais informações, consulte Como funciona o write-back de redefinição de senha de autoatendimento na ID do Microsoft Entra.

Causa 2: a conta do Conector do AD DS não tem as permissões corretas do Active Directory

O usuário sincronizado não tem as permissões corretas no Active Directory.

Solução: resolver problemas de permissão do Active Directory

Para resolver problemas que afetam as permissões do Active Directory, consulte Direitos e permissões de acesso de write-back de senha.

Solução alternativa: Direcionar um controlador de domínio diferente do Active Directory

Observação

O write-back de senha depende da API herdada NetUserGetInfo. A NetUserGetInfo API requer um conjunto complexo de permissões permitidas no Active Directory que podem ser difíceis de identificar, especialmente quando um servidor Microsoft Entra Connect está em execução em um controlador de domínio. Para obter mais informações, consulte Aplicativos que usam NetUserGetInfo e APIs semelhantes dependem do acesso de leitura a determinados objetos do Active Directory.

Você tem um cenário em que um servidor do Microsoft Entra Connect está em execução em um controlador de domínio e não é possível resolver as permissões do Active Directory? Nesse caso, recomendamos que você implante o servidor Microsoft Entra Connect em um servidor membro em vez de um controlador de domínio. Ou configure o conector do Active Directory para usar apenas controladores de domínio preferenciais usando as seguintes etapas:

  1. No menu Iniciar, pesquise e selecione Gerenciador do Serviço de Sincronização.

  2. Na janela Synchronization Service Manager, selecione a guia Conectores.

  3. Clique com o botão direito do mouse no conector do Active Directory na lista de conectores e selecione Propriedades.

  4. No painel Designer de Conector da caixa de diálogo Propriedades, selecione Configurar Partições de Diretório.

  5. No painel Configurar Partições de Diretório, selecione a opção Usar apenas controladores de domínio preferenciais e selecione Configurar.

  6. Na caixa de diálogo Configurar DCs Preferenciais, adicione um ou mais nomes de servidor que apontem para um controlador de domínio (ou controladores de domínio) diferente do host local.

  7. Para salvar suas alterações e retornar à janela principal, selecione OK três vezes, inclusive na caixa de diálogo Aviso que mostra um aviso de isenção de responsabilidade de configuração avançada.

Causa 3: os servidores não têm permissão para fazer chamadas remotas para o SAM (Gerenciador de Contas de Segurança)

Nesse caso, dois eventos de erro de aplicativo semelhantes são registrados: ID de evento 33004 e 6329. A ID do evento 6329 difere de 33004 porque contém um código de ERROR_ACCESS_DENIED erro no rastreamento de pilha quando o servidor tenta fazer uma chamada remota para o SAM:

ERR_: MMS(####): admaexport.cpp(2944): Falha ao adquirir informações do usuário: Contoso\MSOL_############. Código de erro: ERROR_ACCESS_DENIED

Essa situação pode ocorrer se o servidor Microsoft Entra Connect ou o controlador de domínio tiver ou tiver uma configuração de segurança de proteção aplicada com um GPO (Objeto de Política de Grupo) de Domínio ou na Política de Segurança Local do servidor. Para verificar se esse é o caso, siga estas etapas:

  1. Abra uma janela administrativa do prompt de comando e execute os seguintes comandos:

    md C:\Temp
    gpresult /h C:\Temp\GPreport.htm
    start C:\Temp\GPreport.htm
    
  2. Abra o arquivo C:\Temp\gpresult.htm no navegador da Web e expanda Detalhes>do Computador Configurações Configurações>Políticas Configurações>do Windows>Configurações de Segurança Políticas>Locais/Opções>de Segurança Acesso à Rede. Em seguida, verifique se você tem uma configuração chamada Acesso à rede: restringir clientes com permissão para fazer chamadas remotas para o SAM.

  3. Para abrir o snap-in Política de Segurança Local, selecione Iniciar, insira secpol.msc, pressione Enter e expanda Políticas Locais>Expandir Opções de Segurança.

  4. Na lista de políticas, selecione Acesso à rede: restringir clientes com permissão para fazer chamadas remotas para o SAM. A coluna Configuração de Segurança mostrará Não Definido se a configuração não estiver habilitada ou exibirá um O:BAG:... valor de descritor de segurança se a configuração estiver habilitada. Se a configuração estiver habilitada, você também poderá selecionar o ícone Propriedades para ver a ACL (Lista de Controle de Acesso) aplicada no momento.

    Observação

    Por padrão, essa configuração de política está desativada. Quando essa configuração é aplicada em um dispositivo por meio de uma configuração de GPO ou Política Local, um valor do Registro chamado RestrictRemoteSam é criado no caminho do Registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . No entanto, essa configuração do Registro pode ser difícil de limpar depois de definida e aplicada ao servidor. Desabilitar a configuração de Política de Grupo ou desmarcar a opção Definir esta configuração de política no GPMC (Console de Gerenciamento de Política de Grupo) não remove a entrada do Registro. Portanto, o servidor ainda restringe quais clientes têm permissão para fazer chamadas remotas para o SAM.

    Como você verifica com precisão se o servidor Microsoft Entra Connect ou o controlador de domínio ainda está restringindo chamadas remotas ao SAM? Você verifica se a entrada do Registro permanece presente executando o cmdlet Get-ItemProperty no PowerShell:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
    

A saída do PowerShell mostra que uma entrada do Registro RestrictRemoteSam ainda está presente? Nesse caso, você tem duas soluções possíveis.

Solução 1: Adicionar a conta do Conector do AD DS à lista de usuários permitidos

Manter o acesso à rede: restrinja os clientes com permissão para fazer chamadas remotas à configuração de política SAM habilitada e aplicada no servidor Microsoft Entra Connect, mas adicione a conta do conector (conta MSOL_ ) dos Serviços de Domínio Active Directory (AD DS) à lista de usuários permitidos. Para obter instruções, consulte as seguintes etapas:

  1. Se você não souber o nome da sua conta do Conector do AD DS, consulte Identificar a conta do Conector do AD DS.

  2. No snap-in GPMC ou Diretiva de Segurança Local, volte para a caixa de diálogo de propriedades dessa configuração de diretiva.

  3. Selecione Editar segurança para exibir a caixa de diálogo Configurações de segurança para acesso remoto ao SAM .

  4. Na lista Nomes de grupo ou usuário, selecione Adicionar para exibir a caixa de diálogo Selecionar Usuários ou Grupos. Na caixa Inserir os nomes de objeto a serem selecionados , insira o nome da conta do Conector do AD DS (MSOL_ conta) e selecione OK para sair dessa caixa de diálogo.

  5. Selecione a conta do Conector do AD DS na lista. Em Permissões para <o nome> da conta, na linha Acesso Remoto, selecione Permitir.

  6. Selecione OK duas vezes para aceitar as alterações de configuração de política e retornar à lista de configurações de política.

  7. Abra uma janela administrativa do Prompt de Comando e execute o comando gpupdate para forçar uma atualização da Política de Grupo:

    gpupdate /force
    

Solução 2: Remova o acesso à rede: restrinja os clientes com permissão para fazer chamadas remotas à configuração de política SAM e exclua manualmente a entrada do Registro RestrictRemoteSam

  1. Se a configuração de segurança for aplicada a partir da Política de Segurança Local, vá para a etapa #4.

  2. Abra o snap-in GPMC de um Controlador de Domínio e edite o respectivo GPO de Domínio.

  3. Expanda Políticas de Configuração>do Computador Configurações>>do Windows Configurações>de Segurança Configuração>do Computador Políticas>Locais Opções de Segurança.

  4. Na lista de opções de segurança, selecione Acesso à rede: restringir clientes com permissão para fazer chamadas remotas para o SAM, abra Propriedades e desabilite Definir esta configuração de política.

  5. Abra uma janela administrativa do Prompt de Comando e execute o comando gpupdate para forçar uma atualização da Política de Grupo:

    gpupdate /force
    
  6. Para gerar um novo relatório de resultados de Política de Grupo (GPreport.htm), execute o comando gpresult e abra o novo relatório em um navegador da Web:

    md C:\Temp
    gpresult /h C:\Temp\GPreport.htm
    start C:\Temp\GPreport.htm
    
  7. Verifique o relatório para garantir que a configuração de política para Acesso à rede: restringir clientes com permissão para fazer chamadas remotas para o SAM não esteja definida.

  8. Abra um console administrativo do PowerShell.

  9. Para remover a entrada do Registro RestrictRemoteSam , execute o cmdlet Remove-ItemProperty :

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
    

    Observação

    Se você excluir a entrada do Registro RestrictRemoteSam sem remover a configuração do GPO de Domínio, essa entrada do Registro será recriada no próximo ciclo de atualização da Diretiva de Grupo e o SSPR_0029 erro ocorrerá novamente.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.