我正在使用ssh客户端login到服务器从提示中发出密码更改命令。 在域服务器上尝试此操作时会出现问题。 我使用pipe理员帐户(而不是pipe理员帐户)login并尝试更改用户的密码(净用户的用户名密码/域),我得到以下错误:
发生系统错误5。
访问被拒绝。
现在,如果使用pipe理员帐户login,则该命令将成功完成。 因此,必须有某个策略或安全权限允许pipe理员帐户执行pipe理员帐户无法执行的操作。 我比较了组和pipe理员帐户是所有必要组的一部分。 有关这可能位于哪里的任何input?
即使你说你检查了组成员资格,这听起来好像你的“pipe理员”帐户没有“pipe理员”帐户相同的组成员资格。
带有“/ ALL”参数的Windows“whoami.exe”(不是Cygwin whoami)会显示每个用户的组成员资格,以便您可以比较它们。
(理论上,可以修改AD中用户对象的权限来拒绝“pipe理员”用户权限来更改他们的密码,而仍然有“pipe理员”是“pipe理员”相同的组的成员,但我认为这是不大可能。)
为了完全排除与cygwin SSH有关的任何事情,为什么不用“admin”凭证在本地login到服务器计算机,并从NT命令提示符尝试您的“NET USER”?
编辑:
实际上,没有任何一种组策略设置会影响本身更改密码的能力。 如果您的“pipe理员”帐户是“企业pipe理员”的成员,则应该能够重置Active Directory中任何其他帐户的密码。 就像我上面所说的那样,人们可以对AD进行一些“调整”来改变这种行为,但是我觉得这样做是不太可能的。 我认为还有其他事情正在发生。
如果您没有启用帐户pipe理事件的失败审计,那么现在是创build链接到“域控制器”OU(首选)的新GPO或修改“默认域控制器”GPO(不是首选)的好时机 – 你真的希望离开这个GPO的“股票”,并打开账户pipe理事件失败审计。深入到“计算机configuration”,“Windows设置”,“安全设置”,“本地策略”和“审计策略”对“账户pipe理”进行失败审计。
在您的域控制器comptuers上运行“gpupdate”,再次尝试您的“NET USER”,并检查所有DC上的安全事件日志,以查看哪一个正在logging失败的密码更改。
我很想弄清楚发生了什么。 就像我刚才说的那样,我期望这个东西很简单,被忽略了…我们会看到…
经过多年来试图追踪这类问题,这些天,如果我想创build一个“pipe理员”帐户,我总是通过复制pipe理员帐户来做到这一点。 在“AD用户和计算机”中,右键单击pipe理员帐户并select“复制”。 节省很多时间!
当然,拥有多个pipe理员帐户的好习惯是有争议的。
JR
第一个pipe理员帐户是否在域中具有域pipe理员或帐户操作员组成员身份? 或者是否授权重置用户帐户的密码? 由于您正在指定/ domain,因此正在对域用户帐户进行更改,因此权限将需要位于域级别。
您的networking帐户可能是本机的本地pipe理员,但您可能不在帐户操作员组中。 有了/ domain开关,您甚至不必在实际的服务器上运行它,只需从命令提示符下input域中任何计算机的相应凭据即可。
networking用户? Ewwww 。 你应该使用DSMOD 。
DSMOD user userDN -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct 如果您不知道userDN是什么,请使用以下命令:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct
如果你想要得到它,你可以将DSQUERY的结果直接input到DSMOD中,如下所示:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct
如果要设置用户必须在下次login时更改密码标志,请将-mustchpwd yes添加到DSMOD参数string中,如下所示:
DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct -mustchpwd yes