Zum Hauptinhalt springen
In diesem Artikel wird erläutert, wie Sie die Ursache eines Anmeldeproblems im Zusammenhang mit einem Kennwort ermitteln, das Problem (aus der Ferne oder lokal) beheben und zukünftige Vorfälle verhindern können.

Identifizieren Sie häufige Ursachen

Anmeldeprobleme können folgende Ursachen haben:
  • Ein vergessenes Passwort nach einem Zeitraum der Inaktivität oder einer kürzlichen Änderung.
  • Ein Tippfehler im Zusammenhang mit dem Tastaturlayout (z. B. Wechsel von AZERTY zu QWERTY).
  • Eine Änderung der Sicherheitsrichtlinien (Komplexität, Länge oder Rotationsanforderungen).
  • Ein SecureToken-Problem auf macOS – einige Passwortabfragen auf dem Anmeldebildschirm erfordern tatsächlich ein SecureToken-fähiges Konto, nicht das reguläre Anmeldepasswort des Benutzers.

Diagnostizieren und sichern

Vermeiden Sie wiederholte Anmeldeversuche

Wichtig: Bitten Sie den Benutzer, nicht mehrere falsche Anmeldungen zu versuchen. Auf macOS können mehrere fehlgeschlagene Versuche Recovery OS auslösen, was die Passwortwiederherstellung komplexer macht.

Bestätigen Sie die Passworteingabe mit dem Benutzer

  1. Bitten Sie den Benutzer, das Passwort in ein sichtbares Feld einzugeben (z. B. „Benutzername“), um die eingegebenen Zeichen zu überprüfen.
  2. Überprüfen Sie das Tastaturlayout und die Eingabesprache:
    • macOS: Systemeinstellungen → Sprache und Region → Eingabemethode
    • Windows: Einstellungen → Zeit & Sprache → Sprache & Region

Überprüfen Sie die angewendete Passwortrichtlinie

Administratoren können Sicherheitsrichtlinien definieren (Komplexität, Erneuerungshäufigkeit, Rotation usw.). Gehen Sie in Primo zu Einstellungen → Sicherheit → Passwortrichtlinien und bestätigen Sie die auf das Gerät des Benutzers angewendete Regel. Eine aktuelle Richtlinie erforderte möglicherweise eine Passwortänderung.

Überprüfen Sie den SecureToken-Status (nur macOS)

Auf macOS fordern einige Anmeldeaufforderungen – insbesondere beim Entsperren von FileVault, bei der Verwendung von Funktionen auf Administratorebene oder nach einer Richtlinienänderung – tatsächlich ein SecureToken-fähiges Konto und nicht das reguläre Anmeldekennwort. Ein Benutzer hat möglicherweise das richtige Passwort, wird aber trotzdem gesperrt, wenn sein Konto kein SecureToken hat oder wenn er zur Eingabe eines anderen (Administrator-)Kontos aufgefordert wird, das das Token enthält. So überprüfen Sie den SecureToken-Status auf dem Gerät:
  1. Öffnen Sie Terminal auf dem Mac.
  2. Ausführen: 
    sysadminctl -secureTokenStatus <username>
  3. Die Ausgabe zeigt SecureToken is ENABLED oder SecureToken is DISABLED für diesen Benutzer.
Wenn SecureToken deaktiviert ist:
  • Ein Admin-Benutzer mit SecureToken kann es einem anderen Benutzer gewähren: 
    sysadminctl -secureTokenOn <target_username> -password <target_password> -adminUser <admin_username> -adminPassword <admin_password>
  • Alternativ können Sie MDM → Profile → Admin-Benutzerverwaltung verwenden, um sicherzustellen, dass auf allen Geräten ein Bootstrap-Administratorkonto mit SecureToken vorhanden ist.
SecureToken ist zum Entsperren von FileVault und zum Erteilen der Berechtigung zum Entsperren verschlüsselter Volumes für andere Benutzer erforderlich. Wenn ein Benutzer FileVault trotz des richtigen Passworts nicht entsperren kann, ist SecureToken die wahrscheinlichste Ursache.

Setzen Sie das Passwort zurück

Wählen Sie je nach Gerätestatus die entsprechende Option.

Option 1 – Erneuern Sie das Passwort remote über Primo

Anforderungen:
  • Sie sind Administrator Ihres Unternehmensbereichs.
  • Das Gerät ist im MDM registriert.
  • Das Gerät ist eingeschaltet und mit dem Internet verbunden (Online).
  • Auf dem Gerät ist eine Administratorsitzung vorhanden.

Option 2 – Verwenden Sie das verknüpfte Apple- oder Microsoft-Konto

Wenn ein Konto mit dem Gerät verknüpft ist, befolgen Sie die Vorgehensweise des Anbieters:

Option 3 – Entsperren mit dem Wiederherstellungsschlüssel (FileVault / BitLocker)

Anforderungen:
  • Das Gerät ist im MDM registriert.
  • Das Gerät ist nicht mit dem Internet verbunden oder kommuniziert nicht mit dem MDM.
  • Die Verschlüsselung ist aktiviert (FileVault auf macOS / BitLocker auf Windows).
  • Der Wiederherstellungsschlüssel ist synchronisiert.
Aktionen:
  1. Rufen Sie den Wiederherstellungsschlüssel aus dem Gerätedatensatz unter Primo → Informationen → Wiederherstellungsschlüssel ab.
  2. Entsperren Sie die Sitzung lokal mit diesem Schlüssel.
  3. Legen Sie ein neues Passwort fest.

Option 4 – Setzen Sie das Gerät vollständig zurück

Wenn keine der vorherigen Optionen funktioniert, besteht die einzige Lösung darin, das Gerät vollständig zurückzusetzen. Warnung: Durch diesen Vorgang werden alle lokalen Daten gelöscht.

Verhindern Sie zukünftige Vorfälle

Um künftige passwortbezogene Anmeldeprobleme zu vermeiden, führen Sie die folgenden Maßnahmen durch:
  • Aktivieren Sie die Geräteverschlüsselung und stellen Sie sicher, dass jeder Wiederherstellungsschlüssel ordnungsgemäß gespeichert wird.
  • Erstellen Sie automatisch eine Administratorsitzung auf Geräten über MDM → Profile → Admin-Benutzerverwaltung.
  • Planen und kommunizieren Sie Sicherheitsrichtlinienänderungen an Ihre Teams (Datum des Inkrafttretens, Komplexitätsanforderungen).
  • Informieren Sie Benutzer vor jeder globalen Passwortverlängerung.

Zusammenfassung

Wenn bei einem Benutzer ein passwortbezogenes Anmeldeproblem auftritt:
  1. Überprüfen Sie die Passworteingabe und das Tastaturlayout.
  2. Überprüfen Sie die angewendete Passwortrichtlinie.
  3. Wählen Sie die richtige Option: Remote-Verlängerung, Wiederherstellungsschlüssel oder verknüpftes Konto.
  4. Implementieren Sie präventive Maßnahmen (Verschlüsselung, Admin-Sitzung, Richtlinienkommunikation).
Das passwortbezogene Anmeldeproblem ist jetzt behoben.