我正在使用 ssh 用戶端登入伺服器,從提示符號中發出密碼更改命令。在網域伺服器上嘗試執行此操作時會出現問題。我使用管理員帳戶(不是管理員帳戶)登入並嘗試更改使用者的密碼(網路使用者使用者名稱密碼/網域),但出現以下錯誤:
發生系統錯誤 5。
訪問被拒絕。
現在,如果我使用管理員帳戶登錄,命令將成功完成。因此,必須有某種策略或安全權限允許管理員帳戶執行管理員帳戶無法執行的操作。我比較了群組,管理員帳戶是所有必要群組的一部分。關於它可能位於何處的任何輸入?
答案1
即使您說您檢查了群組成員資格,但聽起來您的「管理員」帳戶確實沒有與「管理員」帳戶相同的群組成員資格。
帶有“/ALL”參數的Windows“whoami.exe”(不是Cygwin whoami)將顯示每個使用者的群組成員身份,以便您可以比較它們。
(理論上,可以修改 AD 中使用者物件的權限,以拒絕「admin」使用者更改密碼的權限,同時仍然讓「admin」成為與「管理員」相同群組的成員,但我認為這是不大可能。 )
為了完全排除與 cygwin SSH 有關的任何問題,為什麼不使用“admin”憑證本地登錄到伺服器計算機,並從 NT 命令提示字元嘗試使用“NET USER”呢?
編輯:
事實上,沒有任何類型的群組原則設定會影響更改密碼的能力本身。如果您的「管理員」帳戶是「企業管理員」的成員,它應該能夠重設 Active Directory 中任何其他帳戶的密碼。就像我上面所說的那樣,人們可以對 AD 進行一些「調整」來改變這種行為,但我發現任何這些都不太可能完成。我認為還有其他事情正在發生。
如果您沒有啟用帳戶管理事件的失敗審核,那麼現在是建立連結到「網域控制站」OU(首選)的新 GPO 或修改「預設網域控制站」GPO(不首選)的好時機-- 您確實應該保留此GPO「庫存」並開啟帳戶管理事件失敗審核。
在網域控制器電腦上執行“gpupdate”,再次嘗試“NET USER”,然後檢查所有 DC 上的安全性事件日誌,以查看哪一個 DC 正在記錄失敗的密碼變更。
我很想弄清楚發生了什麼事。就像我說的,我希望這是被忽視的簡單事情......我們會看到......
答案2
第一個管理員帳戶是否具有網域內的網域管理員或帳戶操作員群組成員身分?或者它是否有權重置用戶帳戶的密碼?由於您指定 /domain,因此變更是針對網域使用者帳戶進行的,因此權限需要位於網域層級。
答案3
經過多年嘗試追蹤此類問題後,現在如果我想建立一個「管理員」帳戶,我總是透過複製管理員帳戶來完成。在 AD 使用者和電腦中右鍵單擊管理員帳戶並選擇「複製」。節省很多時間!
當然,擁有多個管理員帳戶是否是一個好的做法是有爭議的...
JR
答案4
網路用戶? 呃www。你應該使用DSMOD。
DSMOD user userDN -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
如果您不知道 userDN 是什麼,請使用以下命令:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct
如果您想變得更奇特,可以將 DSQUERY 的結果直接透過管道傳輸到 DSMOD,如下所示:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
如果您想設定用戶下次登入時必須更改密碼標記,然後添加-mustchpwd 是的到 DSMOD 參數字串,如下所示:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct -mustchpwd yes