Ich verwende einen SSH-Client, um mich bei einem Server anzumelden und Befehle zum Ändern des Passworts über die Eingabeaufforderung einzugeben. Das Problem tritt auf, wenn ich dies auf dem Domänenserver versuche. Ich melde mich mit einem Administratorkonto an (nicht mit DEM Administratorkonto) und versuche, das Passwort für einen Benutzer zu ändern (Net User Benutzername Passwort /Domäne) und erhalte die folgende Fehlermeldung:
Es ist Systemfehler 5 aufgetreten.
Der Zugriff wird verweigert.
Wenn ich mich jetzt mit dem Administratorkonto anmelde, wird der Befehl erfolgreich ausgeführt. Es muss also irgendwo eine Richtlinie oder Sicherheitsberechtigung geben, die dem Administratorkonto erlaubt, das zu tun, was das Administratorkonto nicht kann. Ich habe die Gruppen verglichen und das Administratorkonto ist Teil aller erforderlichen Gruppen. Gibt es Hinweise, wo sich dies befinden könnte?
Antwort1
Auch wenn Sie sagen, dass Sie die Gruppenmitgliedschaften überprüft haben, klingt es tatsächlich so, als ob Ihr „Admin“-Konto nicht über dieselben Gruppenmitgliedschaften verfügt wie das „Administrator“-Konto.
Die Windows-Datei „whoami.exe“ (nicht die Cygwin-Whoami) mit dem Parameter „/ALL“ zeigt Ihnen die Gruppenmitgliedschaften der einzelnen Benutzer an, sodass Sie diese vergleichen können.
(Theoretisch wäre es möglich, die Berechtigungen von Benutzerobjekten in AD zu ändern, um dem Benutzer „admin“ die Rechte zum Ändern seines Passworts zu verweigern und gleichzeitig „admin“ weiterhin Mitglied derselben Gruppe wie „Administrator“ zu machen. Ich halte das jedoch für höchst unwahrscheinlich.)
Um alles, was mit Cygwin SSH zu tun hat, vollständig auszuschließen: Warum melden Sie sich nicht lokal mit den Anmeldeinformationen „admin“ beim Server-Computer an und versuchen es mit „NET USER“ in einer NT-Eingabeaufforderung?
Bearbeiten:
Es gibt eigentlich keine Gruppenrichtlinieneinstellung, die die Möglichkeit zum Ändern von Passwörtern an sich beeinflusst. Wenn Ihr „Administrator“-Konto Mitglied von „Enterprise Admins“ ist, sollte es in der Lage sein, das Passwort jedes anderen Kontos im Active Directory zurückzusetzen. Wie ich oben sagte, hätte man „Optimierungen“ an AD vornehmen können, die dieses Verhalten ändern würden, aber ich halte es für höchst unwahrscheinlich, dass irgendetwas davon getan worden wäre. Ich denke, dass etwas anderes passiert.
Wenn Sie die Fehlerüberwachung von Kontoverwaltungsereignissen nicht aktiviert haben, ist jetzt ein guter Zeitpunkt, entweder ein neues GPO zu erstellen, das mit Ihrer OU „Domänencontroller“ verknüpft ist (bevorzugt) oder Ihr GPO „Standarddomänencontroller“ zu ändern (nicht bevorzugt – Sie sollten dieses GPO wirklich „auf Vorrat“ lassen) und die Fehlerüberwachung von Kontoverwaltungsereignissen zu aktivieren. Gehen Sie in „Computerkonfiguration“, „Windows-Einstellungen“, „Sicherheitseinstellungen“, „Lokale Richtlinien“ und „Überwachungsrichtlinie“ und aktivieren Sie die Fehlerüberwachung für „Kontoverwaltung“.
Führen Sie auf Ihren Domänencontroller-Computern ein „gpupdate“ aus, versuchen Sie es erneut mit Ihrem „NET USER“ und überprüfen Sie das Sicherheitsereignisprotokoll auf allen Ihren DCs, um festzustellen, auf welchem die fehlgeschlagene Kennwortänderung aufgezeichnet ist.
Ich bin gespannt, was los ist. Wie gesagt, ich gehe davon aus, dass es etwas Einfaches ist, das übersehen wird ... Wir werden sehen ...
Antwort2
Verfügt das erste Administratorkonto über eine Domänenadministrator- oder Kontobetreiber-Gruppenmitgliedschaft innerhalb der Domäne? Oder verfügt es über delegierte Rechte zum Zurücksetzen des Kennworts für das Benutzerkonto? Da Sie /domain angeben, wird die Änderung an einem Domänenbenutzerkonto vorgenommen, sodass die Rechte auf Domänenebene gelten müssen.
Antwort3
Nachdem ich jahrelang versucht habe, dieser Art von Problem auf die Spur zu kommen, kopiere ich heutzutage immer das Administratorkonto, wenn ich ein „Admin“-Konto erstellen möchte. Klicken Sie in AD-Benutzer und -Computer mit der rechten Maustaste auf das Administratorkonto und wählen Sie „Kopieren“. Das spart viel Zeit!
Ob es eine gute Praxis ist, mehrere Administratorkonten zu haben, ist natürlich umstritten …
JR
Antwort4
Internetbenutzer? IgittSie sollten verwendenDSMOD.
DSMOD user userDN -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
Wenn Sie den Benutzer-DN nicht kennen, verwenden Sie Folgendes:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct
Wenn Sie es etwas ausgefallener gestalten möchten, können Sie das Ergebnis der DSQUERY direkt in den DSMOD weiterleiten, und zwar wie folgt:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
Wenn Sie dieBenutzer muss bei der nächsten Anmeldung sein Passwort ändernFlagge, dann hinzufügen-mustchpwd jazur DSMOD-Argumentzeichenfolge, etwa so:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct -mustchpwd yes