部分使用者的密碼無法同步

如果密碼同步未同步處理部分密碼,請按照下列步驟排解問題。

步驟 1:確認 Password Sync 已正確安裝

請確認您已在網域內的所有可寫入 Microsoft Active Directory (AD) 伺服器 (網域控制器) 上,成功安裝密碼同步:

  1. 使用 Password Sync 支援工具,查看哪些網域控制器已安裝 Password Sync。請按照「選項 1:自動疑難排解」中的步驟操作。

  2. 如要查看可寫入網域控制器的清單,請開啟指令提示字元並輸入下列指令:

    findstr /S /C:"A:Creating" PasswordSyncSupportTool.log

    如果不確定哪些網域控制器可供寫入,請在所有網域控制器上安裝 Password Sync。不必擔心這會造成問題。

  3. 查看產生的報表,確認每個網域控制器的資料夾都有 service_*.txt 檔案,表示服務正在執行。

    在資料夾中,您會看到 2 個檔案顯示服務無法使用,以及一個檔案確認服務正在執行。

  4. 請嘗試變更密碼,並確認工具是否能正常同步。如果問題仍未解決,請繼續執行下一個步驟。

步驟 2:驗證使用者的權限

使用者無法為權限較高的使用者變更密碼。舉例來說,一般管理員無法更新超級管理員的密碼。如要進一步瞭解角色,請參閱「指派特定管理員角色」。

  1. 如果使用者遇到問題,請確認 Google 帳戶管理員權限未超過設定密碼同步的管理員權限。
  2. 請嘗試變更密碼,並確認工具是否能正常同步。如果問題仍未解決,請繼續執行下一個步驟。

步驟 3:檢查電子郵件地址

  1. 在密碼同步中,確認您已在指定的「Mail Attribute」欄位中新增使用者的電子郵件地址。這些地址必須與使用者的 Google 主要電子郵件地址完全相符,包括地址中的網域部分。詳情請參閱「調整 Active Directory 設定」。
  2. 請嘗試變更密碼,並確認工具是否能正常同步。如果問題仍未解決,請繼續執行下一個步驟。

步驟 4:驗證密碼是否有效

如果密碼因為含有不支援的字元而無法同步,您會在 Windows 應用程式事件記錄檔中收到以下警告:

新密碼包含不支援的字元。The password can not be updated on the Google Account, and will be out of sync with AD.

  1. 請找出密碼並變更為符合規範的密碼。詳情請參閱「設定高強度密碼並強化帳戶安全性」。
  2. 確認工具是否能正常同步。如果問題仍未解決,請參閱「我需要進一步協助」(本頁下一節)。

我需要進一步的協助

如果無法透過上述步驟解決問題,請嘗試下列步驟。

步驟 1:找出範例

  1. 找出 AD 中未同步至 Google 的密碼變更事件。
  2. 確認使用者自首次變更後,並未變更 AD 密碼。
  3. 記下在 AD 中變更密碼的確切時間、使用者名稱和電子郵件地址。

步驟 2:確認密碼變更

確認屬性的時間戳記與使用者變更密碼的時間相符。

  1. 使用 AD 管理工具 (例如 ADSIEdit 或 LDIFDE) 找出並複製使用者的 pwdLastSet 屬性。屬性值是自 1601 年 1 月 1 日 (世界標準時間) 起,以 100 奈秒為單位的計數。如要瞭解這項屬性的詳細資訊,請參閱「Pwd-Last-Set 屬性」。
  2. 前往 Google Admin Toolbox 編碼/解碼工具
  3. 選取「pwdLastSet/FILETIME 解碼」
  4. 在「在下方貼上要進行編碼/解碼的文字」部分,貼上 AD 中的數值屬性,然後按一下「提交」

    Toolbox 會以您所在時區和世界標準時間顯示解碼後的時間值。

  5. 如果時間戳記與使用者變更密碼的時間不符,表示 AD 未處理密碼更新。請解決 AD 中的密碼問題,然後再試一次。

步驟 3:確認問題

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「報告」 接下來「稽核與調查」 接下來「管理員記錄事件」

    必須具備稽核與調查管理員權限。

  2. 搜尋使用者的密碼變更事件,確認是否在 pwdLastSet 屬性中指定的時間戳記 1 到 2 分鐘內發生密碼變更事件。請務必考量時區差異。如要瞭解記錄事件的詳細資訊,請參閱「管理員記錄事件」。
  3. 如果您確認密碼變更的時間點在記錄事件中正確無誤,請檢查下列事項:
    1. 確認變更密碼的管理員是否與記錄中授權密碼同步的管理員相符。如果管理員相同,表示密碼同步功能運作正常。
    2. 確認在同步 Google 使用者的密碼後,是否有其他來源變更密碼,導致密碼與 AD 不同步。請先解決問題,然後再試一次。

步驟 4:建立密碼同步支援工具報表

如要建立報表,您必須從所有可寫入的網域控制器收集 Password Sync 記錄和詳細資料,並將這些資料放到單一資料夾中。如要這樣做,請完成「選項 1:自動疑難排解」中的步驟。

步驟 5:找出負責變更密碼的網域控制器

  1. 開啟命令提示字元,然後使用 cd 指令,前往上一個步驟中建立報表的目錄。

    範例:cd C:\Users\yourname\Desktop\PasswordSyncSupportTool_20240717_142555

  2. 如要在 AD 中搜尋使用者名稱,請使用 findstr 指令。

    如需範例,請參閱「範例:使用 finstr 指令」(位於本頁後續章節)。

  3. 如果您發現有多個記錄檔包含使用者名稱,請選取記錄時間戳記與 pwdLastSet 屬性中時間相符的檔案。請務必考量時區差異。
  4. 在記錄中查看提及使用者名稱的行,找出相關的錯誤訊息或代碼。

    如需錯誤訊息的其他說明,請參閱「Password Sync 錯誤代碼和訊息」。

  5. 如果找不到使用者名稱,請確認您已在所有可寫入的網域控制器上安裝 Password Sync。詳情請參閱前述的「確認 Password Sync 已正確安裝」一節。

  6. 如果問題仍未解決,請與 Google Workspace 支援團隊聯絡。請提供下列資訊:
    • Password Sync 支援工具報表 ZIP 檔案
    • 使用者的電子郵件地址,以及密碼變更時間
    • 使用者的 LDAP 資料交換格式 (LDIF) 傾印

    如要進一步瞭解如何與支援團隊聯絡,請參閱「與 Google Workspace 支援團隊聯絡」。

範例:使用 findstr 指令

範例 1:下列指令會搜尋目前目錄及其子目錄中,含有使用者名稱 (不分大小寫) 的記錄檔案。您可以在命令提示字元視窗中查看相符記錄檔的名稱。

findstr /S /I /M /C:"username" *.log

範例 2:下列指令會搜尋目前目錄及其子目錄中,含有使用者名稱 (不論大小寫) 的記錄檔案。您可以在命令提示字元視窗中查看相符記錄檔的名稱,以及含有使用者名稱的行號。

findstr /S /I /N /C:"username" *.log


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。