프롬프트에서 비밀번호 변경 명령을 실행하기 위해 SSH 클라이언트를 사용하여 서버에 로그인하고 있습니다. 도메인 서버에서 이를 시도할 때 문제가 발생합니다. 관리자 계정이 아닌 관리자 계정을 사용하여 로그인하고 사용자의 비밀번호(순 사용자 UserName 비밀번호/도메인)를 변경하려고 하면 다음 오류가 발생합니다.
시스템 오류 5가 발생했습니다.
접근이 금지되어있다.
이제 관리자 계정을 사용하여 로그인하면 명령이 성공적으로 완료됩니다. 따라서 관리자 계정이 할 수 없는 작업을 관리자 계정이 수행할 수 있도록 허용하는 정책이나 보안 권한이 어딘가에 있어야 합니다. 그룹을 비교했는데 관리자 계정이 필요한 모든 그룹의 일부입니다. 이것이 어디에 있을 수 있는지에 대한 의견이 있으십니까?
답변1
그룹 멤버십을 확인했다고 하더라도 실제로는 "관리자" 계정에 "관리자" 계정과 동일한 그룹 멤버십이 없는 것처럼 들립니다.
"/ALL" 매개변수가 있는 Windows "whoami.exe"(Cygwin whoami 아님)는 비교할 수 있도록 각 사용자의 그룹 멤버십을 표시합니다.
(이론적으로는 "admin"이 "Administrator"와 동일한 그룹의 구성원이 되도록 하면서 암호를 변경할 수 있는 "admin" 사용자 권한을 거부하도록 AD에서 사용자 개체의 권한을 수정하는 것이 가능합니다. 그러나 제 생각에는 가능성은 거의 없습니다.)
cygwin SSH와 관련된 모든 것을 배제하려면 "admin" 자격 증명을 사용하여 서버 컴퓨터에 로컬로 로그온하고 NT 명령 프롬프트에서 "NET USER"를 시도해 보는 것은 어떨까요?
편집하다:
실제로 암호 변경 기능 자체에 영향을 미치는 그룹 정책 설정은 없습니다. 귀하의 "관리자" 계정이 "엔터프라이즈 관리자"의 구성원인 경우 Active Directory에 있는 다른 계정의 비밀번호를 재설정할 수 있어야 합니다. 위에서 말했듯이, AD에 대해 해당 동작을 변경할 수 있는 "조정"이 있지만 그 중 어떤 것도 수행되지 않았을 가능성이 거의 없습니다. 다른 일이 일어나고 있다고 생각합니다.
계정 관리 이벤트에 대한 오류 감사를 활성화하지 않은 경우 지금은 "도메인 컨트롤러" OU에 연결된 새 GPO를 만들거나(선호됨) "기본 도메인 컨트롤러" GPO(선호되지 않음)를 수정하는 것이 좋습니다. -- 이 GPO "재고"를 그대로 두고 계정 관리 이벤트 실패 감사를 켜야 합니다. "컴퓨터 구성", "Windows 설정", "보안 설정", "로컬 정책" 및 "감사 정책"을 자세히 살펴보고 활성화하세요. "계정 관리"에 대한 실패 감사.
도메인 컨트롤러 컴퓨터에서 "gpupdate"를 실행하고 "NET USER"를 다시 시도한 후 모든 DC의 보안 이벤트 로그를 검사하여 어떤 DC가 실패한 암호 변경을 기록하고 있는지 확인하세요.
나는 무슨 일이 일어나고 있는지 알고 싶어합니다. 내가 말했듯이, 간과되고 있는 것은 단순한 것일 것이라고 예상합니다... 두고 봅시다...
답변2
첫 번째 관리자 계정은 도메인 내에 도메인 관리자 또는 계정 운영자 그룹 멤버십이 있습니까? 아니면 사용자 계정에 비밀번호를 재설정할 수 있는 권한이 위임되어 있나요? /domain을 지정하고 있으므로 도메인 사용자 계정에 대해 변경이 이루어지므로 권한은 도메인 수준에 있어야 합니다.
답변3
수년 동안 이런 종류의 문제를 추적하려고 노력한 끝에 요즘에는 "관리자" 계정을 만들고 싶을 때 항상 관리자 계정을 복사하여 만듭니다. AD 사용자 및 컴퓨터에서 관리자 계정을 마우스 오른쪽 버튼으로 클릭하고 "복사"를 선택합니다. 시간이 많이 절약됩니다!
물론 여러 개의 관리자 계정을 갖는 것이 좋은 방법인지 여부는 논쟁의 여지가 있습니다.
JR
답변4
순 사용자? 으으으으으으. 당신은 사용해야합니다DSMOD.
DSMOD user userDN -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
userDN이 무엇인지 모르는 경우 다음을 사용하십시오.
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct
좀 더 자세히 알아보려면 다음과 같이 DSQUERY의 결과를 DSMOD로 직접 파이프할 수 있습니다.
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
설정하고 싶다면사용자는 다음 로그온 시 비밀번호를 변경해야 합니다.플래그를 지정한 다음 추가하세요.-mustchpwd 예다음과 같이 DSMOD 인수 문자열에 추가합니다.
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct -mustchpwd yes