ADMT 3.1 PES 安装失败并出现错误:提供的密码与此加密密钥的密码不匹配
本文有助于解决在 Active Directory 迁移工具版本 3.1 上配置密码导出服务器 (PES) 服务时出现“提供的密码与此加密密钥的密码不匹配”错误的问题。
适用于: Windows Server 2012 R2
原始 KB 编号: 2004090
症状
在 ADMT KEY 源域 PDC 模拟器角色持有者的 Active Directory 迁移工具版本 3.1 上配置密码导出服务器 (PES) 服务失败,出现以下屏幕错误:
命令行语法:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT 源域> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
屏幕错误:
对话框标题文本:密码无效!
对话框消息文本:提供的密码与此加密密钥的密码不匹配。 如果没有有效的加密密钥,ADMT 的密码迁移筛选器 DLL 将不会安装。
原因
提供的密码正确,但 Windows Installer (msiexec.exe) 未能打开域控制器上的策略对象的句柄来保存 PES 服务将使用的密码。 失败表示用户帐户没有所需的权限。
安装 PES 服务的用户必须是域内置管理员组的成员。
此外,如果用户帐户不是内置管理员帐户的成员,并且域控制器上启用了用户帐户控制 (UAC) ,则用户在登录后以最低用户权限运行。 若要访问域控制器上的策略对象以安装 PES 服务,用户必须以完全权限启动 Pwdmig.msi 安装程序文件。
解决方案
通过运行 whoami /groups 命令,确保安装 PES 服务的用户帐户是域内置管理员组的成员,然后在使用“以管理员身份运行”选项启动的提升的命令提示符窗口中运行 Pwdmig.msi 安装程序文件。
或者,可以启动提升的命令提示符窗口,将目录更改为下载 PES 安装程序的目录,然后运行 msiexec /i pwdmig.msi 命令。
更多信息
如果看到命令 whoami /groups 的输出如下所示,则表示用户以最低用户权限登录。 尽管他们是内置管理员组的成员,但他们无权使用此令牌执行管理任务。
Whoami /groups 输出:
| 组名称 | 类型 | SID | Attributes |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| 所有人 | 已知组 | S-1-1-0 | 强制组、默认启用、已启用组 |
| BUILTIN\Administrators | 别名 | S-1-5-32-544 | 仅用于拒绝的组 |
| BUILTIN\Users | 别名 | S-1-5-32-545 | 强制组、默认启用、已启用组 |
| .... |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈