Partager via


Résolution de l’erreur SSPR_0029 : Votre organisation n’a pas défini correctement la configuration locale pour la réinitialisation de mot de passe

Cet article vous aide à résoudre l’erreur de réinitialisation de mot de passe en libre-service ( SSPR) « SSPR_0029 : votre organisation n’a pas correctement configuré la configuration locale pour la réinitialisation de mot de passe » qui se produit après que l’utilisateur ou l’administrateur entre et confirme un nouveau mot de passe dans la page SSPR.

Symptômes

Un utilisateur ou un administrateur effectue les étapes suivantes, puis reçoit une SSPR_0029 erreur :

  1. Dans une page de connexion au compte Microsoft ou à la page de connexion Microsoft Azure dans le https://login.microsoftonline.com domaine, un utilisateur ou un administrateur sélectionne Impossible d’accéder à votre compte ?, j’ai oublié mon mot de passe ou le réinitialiser maintenant.

  2. L’utilisateur ou l’administrateur sélectionne le type de compte professionnel ou scolaire. Ensuite, ils sont redirigés vers la page SSPR pour https://passwordreset.microsoftonline.com démarrer le flux De retour dans votre compte .

  3. Dans l’écran Qui êtes-vous ? , l’utilisateur ou l’administrateur entre son ID d’utilisateur, termine un défi de sécurité captcha respectant la casse, puis sélectionne Suivant.

  4. Dans l’écran Pourquoi avez-vous des difficultés à vous connecter ? l’utilisateur ou l’administrateur sélectionne mon mot de passe>Suivant.

  5. Dans l’écran choisir un nouveau mot de passe , l’utilisateur ou l’administrateur entre et confirme une nouvelle chaîne de mot de passe, puis sélectionne Terminer. Ensuite, un écran Nous sommes désolés s’affiche et présente le message suivant :

    SSPR_0029 : Votre organisation n’a pas défini correctement la configuration locale pour la réinitialisation de mot de passe.

    Si vous êtes administrateur, vous pouvez obtenir plus d’informations dans l’article consacré à la résolution des problèmes de réécriture du mot de passe. Si vous n’êtes pas administrateur, vous pouvez fournir ces informations quand vous contactez votre administrateur.

Cause 1 : Impossible d’utiliser la réécriture du mot de passe pour réinitialiser le mot de passe d’un administrateur Windows Active Directory synchronisé

Vous êtes un administrateur Windows Active Directory synchronisé qui appartient (ou utilisé pour appartenir) à un groupe protégé Active Directory local, et vous ne pouvez pas utiliser la réécriture SSPR et le mot de passe pour réinitialiser votre mot de passe local.

Solution : Aucun (comportement est par conception)

Pour la sécurité, les comptes d’administrateur qui existent dans un groupe protégé Active Directory local ne peuvent pas être utilisés avec la réécriture du mot de passe. Les administrateurs peuvent modifier leur mot de passe dans le cloud, mais ne peuvent pas réinitialiser un mot de passe oublié. Pour plus d’informations, consultez Comment fonctionne l’écriture différée de la réinitialisation de mot de passe en libre-service dans l’ID Microsoft Entra.

Cause 2 : Le compte de connecteur AD DS ne dispose pas des autorisations Active Directory appropriées

L’utilisateur synchronisé ne dispose pas des autorisations appropriées dans Active Directory.

Solution : Résoudre les problèmes d’autorisation Active Directory

Pour résoudre les problèmes qui affectent les autorisations Active Directory, consultez les droits et autorisations d’accès de réécriture du mot de passe.

Solution de contournement : Cibler un autre contrôleur de domaine Active Directory

Note

L’écriture différée de mot de passe dépend de l’API Héritée NetUserGetInfo. L’API NetUserGetInfo nécessite un ensemble complexe d’autorisations autorisées dans Active Directory qui peuvent être difficiles à identifier, en particulier lorsqu’un serveur Microsoft Entra Connect s’exécute sur un contrôleur de domaine. Pour plus d’informations, consultez Applications utilisant NetUserGetInfo et des API similaires s’appuient sur l’accès en lecture à certains objets Active Directory.

Avez-vous un scénario dans lequel un serveur Microsoft Entra Connect s’exécute sur un contrôleur de domaine et qu’il n’est pas possible de résoudre les autorisations Active Directory ? Dans ce cas, nous vous recommandons de déployer le serveur Microsoft Entra Connect sur un serveur membre au lieu d’un contrôleur de domaine. Vous pouvez également configurer votre connecteur Active Directory pour utiliser uniquement les contrôleurs de domaine préférés en procédant comme suit :

  1. Dans le menu Démarrer , recherchez et sélectionnez Synchronization Service Manager.

  2. Dans la fenêtre Synchronization Service Manager , sélectionnez l’onglet Connecteurs .

  3. Cliquez avec le bouton droit sur le connecteur Active Directory dans la liste des connecteurs, puis sélectionnez Propriétés.

  4. Dans le volet Concepteur de connecteurs de la boîte de dialogue Propriétés , sélectionnez Configurer des partitions d’annuaire.

  5. Dans le volet Configurer les partitions d’annuaire, sélectionnez l’option Utiliser uniquement les contrôleurs de domaine préférés, puis sélectionnez Configurer.

  6. Dans la boîte de dialogue Configurer les contrôleurs de domaine préférés , ajoutez un ou plusieurs noms de serveur qui pointent vers un autre contrôleur de domaine (ou contrôleurs de domaine) que l’hôte local.

  7. Pour enregistrer vos modifications et revenir à la fenêtre principale, sélectionnez OK trois fois, notamment dans la boîte de dialogue Avertissement qui affiche une clause d’exclusion de responsabilité de configuration avancée.

Cause 3 : Les serveurs ne sont pas autorisés à effectuer des appels distants au Gestionnaire de comptes de sécurité (SAM)

Dans ce cas, deux événements d’erreur d’application similaires sont enregistrés : ID d’événement 33004 et 6329. L’ID d’événement 6329 diffère de 33004, car il contient un code d’erreur ERROR_ACCESS_DENIED dans la trace de pile lorsque le serveur tente d’effectuer un appel distant à SAM :

ERR_ : MMS(####) : admaexport.cpp(2944) : Échec de l’acquisition des informations utilisateur : Contoso\MSOL_############. Code d’erreur : ERROR_ACCESS_DENIED

Cette situation peut se produire si le serveur Microsoft Entra Connect ou le contrôleur de domaine a ou a eu un paramètre de sécurité renforcé appliqué avec un objet de stratégie de groupe de domaine (GPO) ou dans la stratégie de sécurité locale du serveur. Pour vérifier si c’est le cas, procédez comme suit :

  1. Ouvrez une fenêtre d’invite de commandes d’administration et exécutez les commandes suivantes :

    md C:\Temp
    gpresult /h C:\Temp\GPreport.htm
    start C:\Temp\GPreport.htm
    
  2. Ouvrez le fichier C :\Temp\gpresult.htm dans votre navigateur web, puis développez les stratégies de paramètres>>de détails de l’ordinateur>, Stratégies de sécurité des paramètres locaux des paramètres>>windows/Accès réseau des options>de sécurité. Vérifiez ensuite si vous disposez d’un paramètre nommé Accès réseau : restreindre les clients autorisés à passer des appels distants à SAM.

  3. Pour ouvrir le composant logiciel enfichable Stratégie de sécurité locale, sélectionnez Démarrer, entrez secpol.msc, appuyez sur Entrée, puis développez Stratégies locales>Développer les options de sécurité.

  4. Dans la liste des stratégies, sélectionnez Accès réseau : restreindre les clients autorisés à passer des appels distants à SAM. La colonne Paramètre de sécurité affiche Non défini si le paramètre n’est pas activé ou affiche une O:BAG:... valeur de descripteur de sécurité si le paramètre est activé. Si le paramètre est activé, vous pouvez également sélectionner l’icône Propriétés pour afficher la liste de contrôle d’accès (ACL) actuellement appliquée.

    Note

    Par défaut, ce paramètre de stratégie est désactivé. Lorsque ce paramètre est appliqué sur un appareil via un objet de stratégie de groupe ou un paramètre de stratégie locale, une valeur de Registre nommée RestrictRemoteSam est créée dans le chemin d’accès du registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\ . Toutefois, ce paramètre de Registre peut être difficile à effacer une fois qu’il a été défini et appliqué au serveur. La désactivation du paramètre de stratégie de groupe ou l’effacement de l’option Définir ce paramètre de stratégie dans la console de gestion des stratégies de groupe (GPMC) ne supprime pas l’entrée de Registre. Par conséquent, le serveur limite toujours les clients autorisés à passer des appels distants à SAM.

    Comment vérifier avec précision que le serveur Microsoft Entra Connect ou le contrôleur de domaine limite toujours les appels distants à SAM ? Vous vérifiez si l’entrée de Registre reste présente en exécutant l’applet de commande Get-ItemProperty dans PowerShell :

    Get-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
    

La sortie PowerShell indique-t-elle qu’une entrée de Registre RestrictRemoteSam est toujours présente ? Si c’est le cas, vous avez deux solutions possibles.

Solution 1 : Ajouter le compte de connecteur AD DS à la liste des utilisateurs autorisés

Conservez l’accès réseau : limitez les clients autorisés à passer des appels distants au paramètre de stratégie SAM activé et appliqués sur le serveur Microsoft Entra Connect, mais ajoutez le compte de connecteur services de domaine Active Directory (AD DS) (MSOL_ compte) à la liste des utilisateurs autorisés. Pour obtenir des instructions, consultez les étapes suivantes :

  1. Si vous ne connaissez pas le nom de votre compte de connecteur AD DS, consultez Identifier le compte de connecteur AD DS.

  2. Dans le composant logiciel enfichable Stratégie de sécurité locale ou GPMC, revenez à la boîte de dialogue de propriété de ce paramètre de stratégie.

  3. Sélectionnez Modifier la sécurité pour afficher la boîte de dialogue Paramètres de sécurité pour l’accès à distance à SAM .

  4. Dans la liste Des noms d’utilisateurs ou de groupes, sélectionnez Ajouter pour afficher la boîte de dialogue Sélectionner des utilisateurs ou des groupes . Dans la zone Entrer les noms d’objets à sélectionner , entrez le nom du compte connecteur AD DS (MSOL_ compte), puis sélectionnez OK pour quitter cette boîte de dialogue.

  5. Sélectionnez le compte de connecteur AD DS dans la liste. Sous Autorisations pour <le nom> du compte, dans la ligne Accès à distance, sélectionnez Autoriser.

  6. Sélectionnez OK deux fois pour accepter les modifications apportées au paramètre de stratégie et revenir à la liste des paramètres de stratégie.

  7. Ouvrez une fenêtre d’invite de commandes d’administration et exécutez la commande gpupdate pour forcer une mise à jour de stratégie de groupe :

    gpupdate /force
    

Solution 2 : Supprimer l’accès réseau : Restreindre les clients autorisés à passer des appels distants au paramètre de stratégie SAM , puis supprimer manuellement l’entrée de Registre RestrictRemoteSam

  1. Si le paramètre de sécurité est appliqué à partir de la stratégie de sécurité locale, accédez à l’étape 4.

  2. Ouvrez le composant logiciel enfichable GPMC à partir d’un contrôleur de domaine et modifiez l’objet de stratégie de groupe de domaine respectif.

  3. Développez les stratégies>de configuration>ordinateur paramètres Windows Paramètres de sécurité Options>>de sécurité des stratégies>locales de configuration>de l’ordinateur.

  4. Dans la liste des options de sécurité, sélectionnez Accès réseau : restreindre les clients autorisés à passer des appels distants à SAM, ouvrir propriétés, puis désactiver Définir ce paramètre de stratégie.

  5. Ouvrez une fenêtre d’invite de commandes d’administration et exécutez la commande gpupdate pour forcer une mise à jour de stratégie de groupe :

    gpupdate /force
    
  6. Pour générer un nouveau rapport de résultat de stratégie de groupe (GPreport.htm), exécutez la commande gpresult , puis ouvrez le nouveau rapport dans un navigateur web :

    md C:\Temp
    gpresult /h C:\Temp\GPreport.htm
    start C:\Temp\GPreport.htm
    
  7. Vérifiez le rapport pour vous assurer que le paramètre de stratégie pour l’accès réseau : restreindre les clients autorisés à passer des appels distants à SAM n’est pas défini.

  8. Ouvrez une console PowerShell d’administration.

  9. Pour supprimer l’entrée de Registre RestrictRemoteSam , exécutez l’applet de commande Remove-ItemProperty :

    Remove-ItemProperty -Path HKLM:\System\CurrentControlSet\Control\Lsa -Name RestrictRemoteSam
    

    Note

    Si vous supprimez l’entrée de Registre RestrictRemoteSam sans supprimer le paramètre d’objet de stratégie de groupe de domaine, cette entrée de Registre est recréé lors du prochain cycle d’actualisation de la stratégie de groupe, et l’erreur SSPR_0029 se produit.

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.