私の顧客の 1 社では、一部の AD アカウントが Ctrl + Alt + Del でパスワードを変更できないという問題が発生しています。
表示されるエラー: 「アクセスが拒否されました」
特定のアカウントについて私が発見したこと:
- アカウントは「cannotChangePassword:$false」に設定されています
- ADオブジェクトのセキュリティダイアログでは、プリンシパル「self」にはパスワードを変更する権限がありません。
- この問題の影響を受けるのは管理者アカウントのみのようです
すでに試したこと:
- 'cannotChangePassword' を $true に設定し、再度 $false に設定する -> これは 2 時間以上機能しました
- ADUC でユーザーのパスワードを変更する権限をプリンシパル「self」に設定します -> これは 2 時間以上機能しました
- プリンシパル「self」にオブジェクト「Domain\System\AdminSDHolder」のパスワードを変更する権限を与えました -> まったく効果がありません
- パスワードは、パスワード ポリシー設定 (長さ、複雑さなど) に従って問題ありません。
他に何かアイデアをお持ちの方はいらっしゃいますか?