共用方式為

疑難排解錯誤 SSPR_0029:您的組織未針對密碼重設正確設定內部部署設定

  • 發行項

本文可協助您針對自助式密碼重設 (SSPR) 錯誤進行疑難解答:「SSPR_0029:您的組織尚未正確設定使用者或系統管理員在 SSPR 頁面上輸入並確認新密碼之後所發生的內部部署設定」。

徵兆

使用者或系統管理員會採取下列步驟,然後收到 SSPR_0029 錯誤:

  1. 在網域中的 https://login.microsoftonline.com Microsoft帳戶登入頁面或Microsoft Azure 登入頁面,使用者或系統管理員選取 [無法存取您的帳戶?]、 [忘記密碼] 或 [立即重設]。

  2. 用戶或系統管理員會選取 公司或學校帳戶 帳戶類型。 然後,系統會將他們重新導向至 的 https://passwordreset.microsoftonline.com [SSPR] 頁面,以啟動 [回到您的帳戶 流程]。

  3. 在 [ 您是誰? ] 畫面上,使用者或系統管理員輸入其使用者標識碼、完成不區分大小寫的 captcha 安全性挑戰,然後選取 [下一步]。

  4. 在 [為什麼登入時發生問題?] 畫面上,用戶或系統管理員會選取 [下一步] 忘記密碼>

  5. 選擇新的密碼 畫面上,用戶或系統管理員輸入並確認新的密碼字串,然後選取 [ 完成]。 然後, [很抱歉 ] 畫面隨即出現,並顯示下列訊息:

    SSPR_0029:您的組織未針對密碼重設正確設定內部部署組態。

    如果您是系統管理員,您可從「疑難排解密碼回寫」一文取得更多資訊。 如果您不是系統管理員,您可在連絡系統管理員時提供此資訊。

原因 1:無法使用密碼回寫來重設已同步 Windows Active Directory 系統管理員的密碼

您是屬於 內部部署的 Active Directory 受保護群組的已同步 Windows Active Directory 系統管理員,且無法使用 SSPR 和密碼回寫來重設內部部署密碼。

解決方案:無(行為是設計方式)

為了安全性,存在於本機 Active Directory 受保護群組內的系統管理員帳戶無法與密碼回寫一起使用。 系統管理員可以在雲端變更其密碼,但無法重設忘記的密碼。 如需詳細資訊,請參閱 自助式密碼重設回寫如何在 Microsoft Entra ID 中運作。

原因 2:AD DS 連接器帳戶沒有正確的 Active Directory 許可權

同步處理的用戶遺漏 Active Directory 中的正確許可權。

解決方案:解決 Active Directory 許可權問題

若要解決影響 Active Directory 許可權的問題,請參閱 密碼回寫訪問許可權和許可權

因應措施:以不同的Active Directory域控制器為目標

注意

密碼回寫相依於舊版 API NetUserGetInfoNetUserGetInfo API 需要在 Active Directory 中需要一組複雜的允許許可權,因此很難識別,尤其是在域控制器上執行Microsoft Entra Connect 伺服器時。 如需詳細資訊,請參閱 使用 NetUserGetInfo 的應用程式和類似的 API 依賴特定 Active Directory 對象的讀取存取權。

您是否有Microsoft Entra Connect 伺服器在域控制器上執行,而且無法解析 Active Directory 許可權的情況? 在此情況下,建議您在成員伺服器上部署 Microsoft Entra Connect 伺服器,而不是域控制器。 或者,使用下列步驟,將您的 Active Directory 連接器設定為 [僅使用慣用的域控制器 ]:

  1. 在 [ 開始] 功能表上,搜尋並選取 [同步處理服務管理員]。

  2. 在 [ 同步處理服務管理員 ] 視窗中,選取 [ 連接器] 索引標籤

  3. 以滑鼠右鍵按兩下連接器清單中的 Active Directory 連接器,然後選取 [ 屬性]。

  4. 在 [屬性] 對話方塊的 [連接器設計工具] 窗格中,選取 [設定目錄資料分割]。

  5. 在 [設定 目錄分割區 ] 窗格中,選取 [ 僅使用慣用的域控制器] 選項,然後選取 [ 設定]。

  6. 在 [ 設定慣用 DC ] 對話框中,新增一或多個指向與本機主機不同的域控制器(或域控制器)的伺服器名稱。

  7. 若要儲存變更並返回主視窗,請選取 [ 確定 ] 三次,包括在顯示進階設定免責聲明的 [警告 ] 對話框中。

原因 3:不允許伺服器對安全性帳戶管理員進行遠端呼叫 (SAM)

在此情況下,會記錄兩個類似的應用程式錯誤事件:事件標識碼 33004 和 6329。 事件標識碼 6329 與 33004 不同,因為當伺服器嘗試對 SAM 進行遠端呼叫時,它包含 ERROR_ACCESS_DENIED 堆棧追蹤中的錯誤碼:

ERR_: MMS(####): admaexport.cpp(2944): 無法取得使用者資訊:Contoso\MSOL_############。 錯誤碼:ERROR_ACCESS_DENIED

如果 Microsoft Entra Connect 伺服器或域控制器已套用網域組策略物件 (GPO) 或伺服器本機安全策略中的強化安全性設定,就可能發生這種情況。 若要檢查情況是否如此,請遵循下列步驟:

  1. 開啟系統管理指令提示字元視窗,然後執行下列命令:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  2. 網頁瀏覽器中開啟 C:\Temp\gpresult.htm 檔案,然後展開 [計算機詳細>數據設定>>原則][Windows 設定>安全性>設定本機原則/安全性選項>網络存取]。 然後,檢查您是否有名為 網路存取的設定:限制允許對 SAM 進行遠端呼叫的用戶端。

  3. 若要開啟 [本機安全策略] 嵌入式管理單元,請選取 [開始],輸入 secpol.msc,按 Enter 鍵,然後展開 [本機原則>展開安全性選項]。

  4. 在原則清單中,選取 [ 網络存取:限制允許對 SAM 進行遠端呼叫的用戶端]。 如果未啟用設定,[安全性設定] 資料行會顯示 [未定義],或者如果啟用設定,則會顯示O:BAG:...安全性描述元值。 如果啟用此設定,您也可以選取 [屬性] 圖示,以查看目前套用的 存取控制 清單 (ACL)。

    注意

    根據預設,此原則設定會關閉。 透過 GPO 或本機原則設定在裝置上套用此設定時,會在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ 登錄路徑中建立名為 RestrictRemoteSam 的登錄值。 不過,在定義並套用至伺服器之後,此登錄設定可能很難清除。 停用組策略設定或清除 組策略管理主控台 (GPMC) 中的 [定義此原則設定 ] 選項並不會移除登錄專案。 因此,伺服器仍然會限制允許哪些用戶端對 SAM 進行遠端呼叫。

    如何準確確認 Microsoft Entra Connect 伺服器或域控制器仍在限制對 SAM 的遠端呼叫? 您可以在 PowerShell 中執行 Get-ItemProperty Cmdlet,以檢查登錄專案是否存在:

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

PowerShell 輸出是否顯示 RestrictRemoteSam 登錄專案仍然存在? 如果是,您有兩個可能的解決方案。

解決方案 1:將 AD DS 連接器帳戶新增至允許的使用者清單

保留網路存取:限制允許用戶端對已啟用和套用Microsoft Entra Connect 伺服器上的 SAM 原則設定進行遠端呼叫,但將 Active Directory 網域服務 (AD DS) 連接器帳戶 (MSOL_ 帳戶) 新增至允許的使用者清單。 如需指示,請參閱下列步驟:

  1. 如果您不知道 AD DS 連接器帳戶的名稱,請參閱 識別 AD DS 連接器帳戶

  2. 在 GPMC 或本機安全策略嵌入式管理單元中,返回該原則設定的屬性對話框。

  3. 選取 [編輯安全性 ] 以顯示 [遠端存取 SAM 的安全性設定] 對話框。

  4. 在 [ 群組或使用者名稱] 清單中,選取 [ 新增 ] 以顯示 [ 選取使用者或群組 ] 對話方塊。 在 [ 輸入要選取 的物件名稱] 方塊中,輸入 AD DS 連接器帳戶的名稱(MSOL_ 帳戶),然後選取 [ 確定 ] 以結束該對話框。

  5. 選取清單中的 AD DS 連接器帳戶。 在 [帳戶名稱>的許可權] <下方的 [遠端存取] 資料列中,選取 [允許]。

  6. 選取 [ 確定 ] 兩次以接受原則設定變更,並返回原則設定清單。

  7. 開啟系統管理命令提示字元視窗,然後執行 gpupdate 命令以強制組策略更新:

    gpupdate /force

解決方案 2:移除 網路存取:限制允許遠端呼叫 SAM 原則設定的用戶端,然後手動刪除 RestrictRemoteSam 登錄專案

  1. 如果從本機安全策略套用安全性設定,請移至步驟 #4。

  2. 從域控制器開啟 GPMC 嵌入式管理單元,然後編輯個別的網域 GPO。

  3. 展開 [計算機設定>原則>] [Windows 設定>安全性設定>] [計算機設定本機>原則>安全性選項]。

  4. 在安全性選項清單中,選取 [ 網络存取:限制允許對 SAM 進行遠端呼叫的用戶端]、開啟 [屬性],然後停用 [ 定義此原則] 設定

  5. 開啟系統管理命令提示字元視窗,然後執行 gpupdate 命令以強制組策略更新:

    gpupdate /force

  6. 若要產生新的組策略結果報告(GPreport.htm),請執行 gpresult 命令,然後在網頁瀏覽器中開啟新的報表:

    md C:\Temp
gpresult /h C:\Temp\GPreport.htm
start C:\Temp\GPreport.htm

  7. 請檢查報告以確定網路存取的原則 設定:未定義允許對 SAM 進行遠端呼叫的用戶端。

  8. 開啟系統管理 PowerShell 控制台。

  9. 若要移除 RestrictRemoteSam 登錄專案,請執行 Remove-ItemProperty Cmdlet:

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam

    注意

    如果您刪除 RestrictRemoteSam 登錄專案而不移除網域 GPO 設定,則會在下一個組策略重新整理週期中重新建立此登錄專案,並 SSPR_0029 重新發生錯誤。

與我們連絡,以取得說明

如果您有問題或需要相關協助,請建立支援要求,或詢問 Azure community 支援。 您也可以向 Azure 意見反應社群提交產品意見反應。