Acceso denegado mediante el comando NET USER a través de una sesión SSH

Aunque dice que verificó las membresías de grupo, realmente parece que su cuenta de "administrador" no tiene las mismas membresías de grupo que la cuenta de "Administrador".

El "whoami.exe" de Windows (no el whoami de Cygwin) con el parámetro "/ALL" le mostrará las membresías de grupo de cada usuario para que pueda compararlas.

(En teoría, sería posible modificar los permisos de los objetos de usuario en AD para negarle al usuario "admin" derechos para cambiar su contraseña y al mismo tiempo hacer que "admin" sea miembro de los mismos grupos que "Administrador", pero creo que eso es altamente improbable.)

Para descartar por completo cualquier cosa que tenga que ver con cygwin SSH, ¿por qué no iniciar sesión localmente en la computadora del servidor con la credencial "admin" y probar su "NET USER" desde un símbolo del sistema NT?

Editar:

Realmente no existe ningún tipo de configuración de política de grupo que afecte la capacidad de cambiar contraseñas, per se. Si su cuenta de "administrador" es miembro de "Administradores empresariales", debería poder restablecer la contraseña de cualquier otra cuenta en Active Directory. Como dije anteriormente, hay "ajustes" que se podrían haber hecho en AD que cambiarían ese comportamiento, pero me parece muy poco probable que se hubiera hecho algo de eso. Creo que algo más está pasando.

Si no tiene habilitada la auditoría de fallas de los eventos de administración de cuentas, ahora es un buen momento para crear un nuevo GPO vinculado a su unidad organizativa "Controladores de dominio" (la preferida) o modificar su GPO "Controladores de dominio predeterminados" (no la preferida). -- realmente debería dejar este "stock" de GPO y activar la auditoría de fallas de eventos de administración de cuentas. Profundice en "Configuración de la computadora", "Configuración de Windows", "Configuración de seguridad", "Políticas locales" y "Política de auditoría" y habilite auditoría de fallos en "Gestión de cuentas".

Ejecute un "gpupdate" en las computadoras de su controlador de dominio, pruebe con su "NET USER" nuevamente y examine el registro de eventos de seguridad en todos sus DC para ver cuál está registrando el cambio de contraseña fallido.

Tengo muchas ganas de saber qué está pasando. Como dije, espero que sea algo simple que se esté pasando por alto... Ya veremos...

La primera cuenta de administrador, ¿tiene membresía en el grupo Administrador de dominio o Operador de cuenta dentro del dominio? ¿O tiene delegado el derecho de restablecer la contraseña de la cuenta de usuario? Dado que está especificando /dominio, el cambio se realiza en una cuenta de usuario de dominio, por lo que los derechos deberán estar en el nivel de dominio.

Después de muchos años intentando localizar este tipo de problema, hoy en día si quiero crear una cuenta de "administrador", siempre lo hago copiando la cuenta de Administrador. En Usuarios y computadoras de AD, haga clic derecho en la cuenta de Administrador y seleccione "Copiar". ¡Ahorra mucho tiempo!

Por supuesto, es discutible si es una buena práctica tener varias cuentas de administrador...

J.R.

¿Usuario de red? Ewwwwww. Deberías estar usandoDSMOD.

DSMOD user userDN -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct

Si no sabes cuál es el DN de usuario, usa esto:

DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct

Si quieres algo más sofisticado, puedes canalizar el resultado de DSQUERY directamente al DSMOD, así:

DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct

Si desea configurar elEl usuario debe cambiar la contraseña en el próximo inicio de sesiónbandera, luego agregue-mustchpwd sia la cadena de argumento DSMOD, así:

DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct -mustchpwd yes