部分使用者的密碼無法同步

如果 Password Sync 未同步處理部分密碼,請按照下列步驟排解問題。

步驟 1:確認已正確安裝 Password Sync

請確認您已在網域內的所有可寫入 Microsoft Active Directory (AD) 伺服器 (網域控制器) 上,成功安裝 Password Sync:

  1. 使用 Password Sync 支援工具,查看哪些網域控制器已安裝 Password Sync。請按照「選項 1:自動疑難排解」中的步驟操作。
  2. 如要查看可寫入網域控制器的清單,請開啟指令提示字元並輸入下列指令:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    如果不確定哪些網域控制器可供寫入,請在所有網域控制器上安裝 Password Sync。不必擔心這會造成問題。

  3. 查看產生的報表,確認每個網域控制器的資料夾都有 service_*.txt 檔案,表示服務正在執行。

    在資料夾中,您會看到 2 個檔案顯示服務無法使用,以及一個檔案確認服務正在執行。

  4. 請嘗試變更密碼,並確認工具是否能正常同步。如果問題仍未解決,請繼續執行下一個步驟。

步驟 2:驗證使用者的權限

使用者無法為權限較高的使用者變更密碼。舉例來說,一般管理員無法更新超級管理員的密碼。如要進一步瞭解角色,請參閱「指派特定管理員角色」。

  1. 如果使用者遇到問題,請確認 Google 帳戶管理員權限未超過設定 Password Sync 的管理員權限。
  2. 請嘗試變更密碼,並確認工具是否能正常同步。如果問題仍未解決,請繼續執行下一個步驟。

步驟 3:檢查電子郵件地址

  1. 在 Password Sync 中,確認您已在指定的「Mail Attribute」欄位中新增使用者的電子郵件地址。這些地址必須與使用者的 Google 主要電子郵件地址完全相符,包括地址中的網域部分。詳情請參閱「調整 Active Directory 設定」。
  2. 請嘗試變更密碼,並確認工具是否能正常同步。如果問題仍未解決,請繼續執行下一個步驟。

步驟 4:驗證密碼是否有效

如果密碼因為含有不支援的字元而無法同步,您會在 Windows 應用程式事件記錄檔中收到以下警告:

The new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with AD.

  1. 請找出密碼並變更為符合規範的密碼。詳情請參閱「使用者和群組的名稱規範」。
  2. 確認工具是否能正常同步。如果問題仍未解決,請參閱「我需要進一步協助」(本頁下一節)。

我需要進一步協助

如果無法透過上述步驟解決問題,請嘗試下列步驟。

開啟區段  |  全部收合並返回頁首

步驟 1:找出範例
  1. 找出 AD 中未同步至 Google 的密碼變更事件。
  2. 確認使用者自首次變更後,並未變更 AD 密碼。
  3. 記下在 AD 中變更密碼的確切時間、使用者名稱和電子郵件地址。
步驟 2:確認密碼變更情形

確認屬性的時間戳記與使用者變更密碼的時間相符。

  1. 使用 AD 管理工具 (例如 ADSIEdit 或 LDIFDE) 找出並複製使用者的 pwdLastSet 屬性。屬性值是自 1601 年 1 月 1 日 (世界標準時間) 起,以 100 奈秒為單位的計數。如要進一步瞭解這項屬性,請參閱「Pwd-Last-Set 屬性」。
  2. 前往 Google Admin Toolbox 編碼/解碼
  3. 選取「pwdLastSet/FILETIME 解碼」
  4. 在「在下方貼上要進行編碼/解碼的文字」部分,貼上 AD 中的數值屬性,然後按一下「提交」

    Toolbox 會以您所在時區和世界標準時間顯示解碼後的時間值。

  5. 如果時間戳記與使用者變更密碼的時間不符,AD 就不會處理密碼更新作業。請解決 AD 中的密碼問題,然後再試一次。
步驟 3:確認問題
  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「報告」接下來「稽核與調查」接下來「管理員記錄事件」
  3. 搜尋使用者的密碼變更事件,確認是否在 pwdLastSet 屬性中指定的時間戳記 1 到 2 分鐘內發生密碼變更事件。請務必考量時區差異。如要進一步瞭解記錄事件,請參閱「管理員記錄事件」。
  4. 如果您確認密碼變更的時間點在記錄事件中正確無誤,請檢查下列事項:
    1. 確認變更密碼的管理員是否與記錄中授權 Password Sync 的管理員相符。如果管理員相同,Password Sync 就會正常運作。
    2. 確認在同步 Google 使用者的密碼後,是否有其他來源變更密碼,導致密碼與 AD 不同步。請先解決問題,然後再試一次。
步驟 4:建立 Password Sync 支援工具報表

如要建立報表,您必須從所有可寫入的網域控制器收集 Password Sync 記錄和詳細資料,並將這些資料放到單一資料夾中。如要這樣做,請完成「選項 1:自動疑難排解」中的步驟。

步驟 5:找出負責變更密碼的網域控制器
  1. 開啟命令提示字元,然後使用 cd 指令,前往上一個步驟中建立報表的目錄。

    範例:cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. 如要在 AD 中搜尋使用者名稱,請使用 findstr 指令。

    如需範例,請參閱「範例:使用 finstr 指令」(位於本頁後續章節)。

  3. 如果您發現有多個記錄檔包含使用者名稱,請選取記錄時間戳記與 pwdLastSet 屬性中時間相符的檔案。請務必考量時區差異。
  4. 在記錄中查看提及使用者名稱的行,找出相關的錯誤訊息或代碼。

    如需錯誤訊息的其他說明,請參閱「Password Sync 錯誤代碼與訊息」。

  5. 如果找不到使用者名稱,請確認您已在所有可寫入的網域控制器上安裝 Password Sync。詳情請參閱前述的「確認 Password Sync 已正確安裝」一節。

  6. 如果問題仍未解決,請聯絡 Google Workspace 支援團隊,並提供下列資訊:
    • Password Sync 支援工具報表 ZIP 檔案
    • 使用者的電子郵件地址和密碼變更時間
    • 使用者的 LDAP 資料交換格式 (LDIF) dump

    如要進一步瞭解如何與支援團隊聯絡,請參閱「與 Google Workspace 支援團隊聯絡」。

範例:使用 findstr 指令

範例 1:下列指令會搜尋目前目錄及其子目錄中,含有使用者名稱 (不分大小寫) 的記錄檔案。您可以在命令提示字元視窗中查看相符記錄檔的名稱。

findstr /S /I /M /C:"<使用者名稱>" *.log

範例 2:下列指令會搜尋目前目錄及其子目錄中,含有使用者名稱 (不論大小寫) 的記錄檔案。您可以在命令提示字元視窗中查看相符記錄檔的名稱,以及含有使用者名稱的行號。

findstr /S /I /N /C:"<使用者名稱>" *.log


Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。

這對您有幫助嗎?

我們應如何改進呢?
true
搜尋
清除搜尋內容
關閉搜尋
主選單
11643923894160791333
true
搜尋說明中心
true
true
true
false
false