SSH クライアントを使用してサーバーにログインし、プロンプトからパスワード変更コマンドを発行しています。ドメイン サーバーでこれを実行しようとすると問題が発生します。管理者アカウント (管理者アカウントではありません) を使用してログインし、ユーザーのパスワードを変更しようとすると (net user UserName password /domain)、次のエラーが発生します。
システムエラー5が発生しました。
アクセスが拒否されました。
ここで、管理者アカウントを使用してログインすると、コマンドは正常に完了します。したがって、管理者アカウントでは実行できないことを管理者アカウントで実行できるようにするポリシーまたはセキュリティ権限がどこかにあるはずです。グループを比較したところ、管理者アカウントは必要なすべてのグループの一部でした。これがどこにあるかについて、何か情報はありますか?
答え1
グループ メンバーシップを確認したとのことですが、実際には「admin」アカウントに「Administrator」アカウントと同じグループ メンバーシップがないようです。
Windows の「whoami.exe」(Cygwin の whoami ではありません) に「/ALL」パラメータを指定すると、各ユーザーのグループ メンバーシップが表示されるので、比較することができます。
(理論的には、AD 内のユーザー オブジェクトの権限を変更して、「admin」ユーザーがパスワードを変更する権限を拒否し、その一方で「admin」を「Administrator」と同じグループのメンバーにすることは可能ですが、その可能性は非常に低いと思います。)
cygwin SSH と関係のあるものをすべて排除するには、「admin」資格情報を使用してサーバー コンピューターにローカルでログオンし、NT コマンド プロンプトから「NET USER」を試してみてはいかがでしょうか。
編集:
パスワードを変更する機能自体に影響を与えるグループ ポリシー設定は実際には存在しません。「admin」アカウントが「Enterprise Admins」のメンバーである場合、Active Directory 内の他のアカウントのパスワードをリセットできるはずです。上で述べたように、AD に「微調整」を加えることでその動作を変更できる可能性がありますが、そのような変更が行われる可能性は非常に低いと思います。何か他のことが起こっていると思います。
アカウント管理イベントの失敗監査が有効になっていない場合は、今が「ドメイン コントローラー」OU にリンクされた新しい GPO を作成する (推奨) か、「既定のドメイン コントローラー」GPO を変更して (推奨されません。この GPO は「標準」のままにしておく必要があります)、アカウント管理イベントの失敗監査を有効にするよいタイミングです。「コンピューターの構成」、「Windows の設定」、「セキュリティの設定」、「ローカル ポリシー」、および「監査ポリシー」を詳しく調べて、「アカウント管理」の失敗監査を有効にします。
ドメイン コントローラー コンピューターで「gpupdate」を実行し、「NET USER」を再度試して、すべての DC のセキュリティ イベント ログを調べて、失敗したパスワード変更を記録している DC を確認します。
何が起こっているのかを知りたいです。前にも言ったように、単純なことが見落とされているのではないかと思います... どうなるか見てみましょう...
答え2
最初の管理者アカウントは、ドメイン内でドメイン管理者またはアカウント オペレーター グループのメンバーシップを持っていますか? または、ユーザー アカウントのパスワードをリセットする委任された権限を持っていますか? /domain を指定しているため、変更はドメイン ユーザー アカウントに対して行われるため、権限はドメイン レベルである必要があります。
答え3
何年もこの種の問題の追跡に努めてきましたが、最近は「管理者」アカウントを作成したいときは、必ず管理者アカウントをコピーして作成しています。AD ユーザーとコンピューターで管理者アカウントを右クリックし、「コピー」を選択します。時間の節約になります。
複数の管理者アカウントを持つことがよい習慣であるかどうかは、もちろん議論の余地があります...
JR
答え4
ネットユーザー? うわー使用すべきはDSMOD。
DSMOD user userDN -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
userDN がわからない場合は、以下を使用します。
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct
もっと凝ったことをしたい場合は、次のように DSQUERY の結果を DSMOD に直接パイプすることもできます。
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
設定したい場合はユーザーは次回ログオン時にパスワードを変更する必要がありますフラグを立てて追加-mustchpwd はいDSMOD 引数文字列に次のように追加します。
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct -mustchpwd yes