web-dev-qa-db-ja.com

SSHセッションを介したネットユーザーコマンドを使用してアクセスが拒否されました

Sshクライアントを使用してサーバーにログインし、プロンプトからパスワード変更コマンドを発行しています。ドメインサーバーでこれを試行すると、問題が発生します。管理者アカウント(管理者アカウントではない)を使用してログインし、ユーザーのパスワード(Net User UserName password/domain)を変更しようとすると、次のエラーが発生します。

システムエラー5が発生しました。

アクセスが拒否されました。

管理者アカウントを使用してログインすると、コマンドは正常に完了します。したがって、管理者アカウントが管理者アカウントではできないことを実行できるようにするポリシーまたはセキュリティ権限がどこかにある必要があります。グループを比較したところ、管理者アカウントは必要なすべてのグループの一部です。これがどこにあるかについての入力はありますか?

1
Nev

グループメンバーシップを確認したと言っても、「管理者」アカウントには「管理者」アカウントと同じグループメンバーシップがないようです。

「/ ALL」パラメーターを指定したWindowsの「whoami.exe」(Cygwin whoamiではない)には、各ユーザーのグループメンバーシップが表示されるため、それらを比較できます。

(理論的には、ADのユーザーオブジェクトのアクセス許可を変更して、「admin」が「Administrator」と同じグループのメンバーでありながら、パスワードを変更する「admin」ユーザー権限を拒否することは可能ですが、それはそうだと思います。可能性は非常に低いです。)

Cygwin SSHとの関係を完全に排除するには、「admin」資格情報を使用してサーバーコンピューターにローカルにログオンし、NTコマンドプロンプトから「NetUser」を試してみませんか?

編集:

パスワードを変更する機能自体に影響を与えるようなグループポリシー設定は実際にはありません。 「admin」アカウントが「EnterpriseAdmins」のメンバーである場合、ActiveDirectory内の他のアカウントのパスワードをリセットできるはずです。上で述べたように、ADに対して行うことができた「微調整」があり、その動作が変更されますが、そのいずれかが行われる可能性は非常に低いと思います。私は何か他のことが起こっていると思います。

アカウント管理イベントの障害監査を有効にしていない場合は、新しいGPO "ドメインコントローラー" OU(推奨)にリンクされている)を作成するか、を変更する良い機会です。 "デフォルトのドメインコントローラー" GPO(推奨されません-これは本当にお勧めしませんGPO "ストック)]アカウント管理イベントの失敗の監査をオンにします。 「コンピューターの構成」、「Windowsの設定」、「セキュリティの設定」、「ローカルポリシー」、および「監査ポリシー」を選択し、「アカウント管理」で障害の監査を有効にします。

ドメインコントローラーコンピューターで「gpupdate」を実行し、「ネットユーザー」を再試行し、すべてのDCのセキュリティイベントログを調べて、失敗したパスワードの変更を記録しているDCを確認します。

私は何が起こっているのかを理解したいと思っています。私が言ったように、私はそれが見落とされている単純なものだと思います...私たちは見るでしょう...

2
Evan Anderson

この種の問題を何年も追跡しようとした後、最近では「管理者」アカウントを作成したい場合は、常に管理者アカウントをコピーして作成しています。 ADユーザーとコンピューターで、管理者アカウントを右クリックし、[コピー]を選択します。多くの時間を節約します!

もちろん、複数の管理者アカウントを持つことが良い習慣であるかどうかは議論の余地があります...

JR

1
John Rennie

最初の管理者アカウントは、ドメイン内にドメイン管理者またはアカウントオペレーターグループのメンバーシップを持っていますか?または、ユーザーアカウントのパスワードをリセットする権利を委任していますか?/domainを指定しているため、変更はドメインユーザーアカウントに対して行われるため、権限はドメインレベルである必要があります。

0
K. Brian Kelley

ネットワークアカウントはマシンのローカル管理者である可能性がありますが、アカウントオペレータグループに属していない可能性があります。/domainスイッチを使用すると、実際のサーバーで実行する必要はありません。ドメイン内の任意のコンピューターから適切な資格情報を使用してコマンドプロンプトから発行するだけです。

0
MDMarra

ネットユーザー? Ewwww[〜#〜] dsmod [〜#〜]を使用する必要があります。

DSMOD user userDN -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct

UserDNが何であるかわからない場合は、次を使用してください。

DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct

ファンシーになりたい場合は、次のように、DSQUERYの結果をDSMODに直接パイプできます。

DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct

ユーザーは次のログオン時にパスワードを変更する必要があるフラグを設定する場合は、-mustchpwd yes次のようにDSMOD引数文字列に追加します。

DSQUERY user -name userName -d yourDomain.loc -u yourDomain\yourAdminUserAcct | DSMOD user -pwd newPassword -d yourDomain.loc -u yourDomain\yourAdminUserAcct -mustchpwd yes
0
Izzy