Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł pomaga rozwiązać problem polegający na tym, że podczas konfigurowania usługi Password Export Server (PES) w narzędziu do migracji usługi Active Directory w wersji 3.1 występuje błąd "Podane hasło nie pasuje do hasła tego klucza".
Oryginalny numer KB: 2004090
Symptomy
Skonfigurowanie usługi Serwera eksportu haseł (PES) w narzędziu do migracji usługi Active Directory w wersji 3.1 na właścicielu roli emulatora kontrolera PDC domeny źródłowej przy użyciu poniższego ADMT KEY polecenia kończy się niepowodzeniem z powodu następującego błędu na ekranie:
Składnia wiersza polecenia:
KLUCZ NARZĘDZIA ADMT /OPTION:CREATE /SOURCEDOMAIN:<ADMT source domain> /KEYFILE:x:\path>\<<filename.pes> /PWD:*
Błąd wyświetlany na ekranie:
Tekst tytułu okna dialogowego: nieprawidłowe hasło!
Tekst komunikatu okna dialogowego:Podane hasło nie jest zgodne z hasłem tego klucza szyfrowania. Biblioteka DLL filtru migracji haseł narzędzia ADMT nie zostanie zainstalowana bez prawidłowego klucza szyfrowania.
Przyczyna
Podane hasło było poprawne, ale Instalator Windows (msiexec.exe) nie może otworzyć dojścia do obiektu zasad na kontrolerze domeny w celu zapisania hasła, które będzie używane przez usługę PES. Błąd wskazuje, że konto użytkownika nie ma wymaganych uprawnień.
Użytkownik, który instaluje usługę PES, musi być członkiem wbudowanej grupy Administratorzy domeny.
Ponadto, jeśli konto użytkownika nie jest członkiem wbudowanego konta administratorów, a kontrola konta użytkownika (UAC) jest włączona na kontrolerze domeny, użytkownik jest uruchamiany z najmniejszymi uprawnieniami użytkownika po zalogowaniu. Aby uzyskać dostęp do obiektu zasad na kontrolerze domeny na potrzeby instalowania usługi PES, użytkownik musi uruchomić Pwdmig.msi plik instalacyjny z pełnymi uprawnieniami.
Rozwiązanie
Upewnij się, że konto użytkownika, które instaluje usługę PES, jest członkiem wbudowanej grupy Administratorzy domeny, uruchamiając whoami /groups polecenie, a następnie uruchom plik konfiguracji Pwdmig.msi w oknie wiersza polecenia z podwyższonym poziomem uprawnień uruchomionym z opcją Uruchom jako administrator .
Alternatywnie możesz uruchomić okno wiersza polecenia z podwyższonym poziomem uprawnień, zmienić katalog na ten, w którym pobrano instalatora PES, a następnie uruchomić msiexec /i pwdmig.msi polecenie.
Więcej informacji
Jeśli zobaczysz, że dane wyjściowe polecenia whoami /groups wyglądają następująco, oznacza to, że użytkownik zalogował się przy użyciu najmniejszych uprawnień użytkownika. Chociaż są członkami wbudowanej grupy Administratorzy, nie mają uprawnień do wykonywania zadań administracyjnych za pomocą tego tokenu.
Whoami /groups wyjście:
| Nazwa grupy | Typ | SID | Atrybuty |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| Wszyscy | Dobrze znana grupa | S-1-1-0 | Grupa obowiązkowa, domyślnie włączona, włączona grupa |
| BUILTIN\Administrators | Alias | S-1-5-32-544 | Grupa używana tylko do odmowy |
| BUILTIN\Users | Alias | S-1-5-32-545 | Grupa obowiązkowa, domyślnie włączona, włączona grupa |
| .... |