(理论上,可以修改 AD 中用户对象的权限以拒绝“admin”用户更改密码的权限,同时仍然让“admin”成为与“Administrator”相同的组的成员,但我认为这是不大可能。)
要完全排除与 cygwin SSH 有关的任何事情,为什么不使用“admin”凭据本地登录到服务器通勤者并从 NT 命令提示符尝试“NET USER”?
编辑:
确实没有任何类型的组策略设置会影响更改密码的能力,就其本身而言。如果您的“管理员”帐户是“企业管理员”的成员,它应该能够重置 Active Directory 中任何其他帐户的密码。就像我上面所说的那样,可以对 AD 进行一些“调整”来改变这种行为,但我发现任何这些都不太可能完成。我认为还有其他事情正在发生。
即使您说您检查了组成员身份,听起来您的“管理员”帐户与“管理员”帐户的组成员身份不同。
带有“/ALL”参数的 Windows“whoami.exe”(不是 Cygwin whoami)将显示每个用户的组成员身份,以便您可以比较它们。
(理论上,可以修改 AD 中用户对象的权限以拒绝“admin”用户更改密码的权限,同时仍然让“admin”成为与“Administrator”相同的组的成员,但我认为这是不大可能。)
要完全排除与 cygwin SSH 有关的任何事情,为什么不使用“admin”凭据本地登录到服务器通勤者并从 NT 命令提示符尝试“NET USER”?
编辑:
确实没有任何类型的组策略设置会影响更改密码的能力,就其本身而言。如果您的“管理员”帐户是“企业管理员”的成员,它应该能够重置 Active Directory 中任何其他帐户的密码。就像我上面所说的那样,可以对 AD 进行一些“调整”来改变这种行为,但我发现任何这些都不太可能完成。我认为还有其他事情正在发生。
如果您没有启用帐户管理事件的失败审核,现在是创建链接到“域控制器”OU(首选)的新 GPO 或修改“默认域控制器”GPO(非首选)的好时机--你真的应该离开这个GPO“股票”并打开帐户管理事件失败审计。深入“计算机配置”、“Windows设置”、“安全设置”、“本地策略”和“审计策略”并启用“账户管理”审核失败。
在您的域控制器计算机上运行“gpupdate”,再次尝试您的“NET USER”,并检查所有 DC 上的安全事件日志,以查看哪个记录了失败的密码更改。
我很想弄清楚发生了什么。就像我说的,我希望这是一件被忽视的简单事情......我们会看到......
第一个管理员帐户,它在域内是否具有域管理员或帐户操作员组成员身份?或者它是否具有重置用户帐户密码的授权?由于您指定 /domain,因此更改是针对域用户帐户进行的,因此权限需要在域级别。
经过多年试图追查此类问题,现在如果我想创建一个“管理员”帐户,我总是通过复制管理员帐户来完成。在 AD 用户和计算机中,右键单击管理员帐户并选择“复制”。节省很多时间!
当然,拥有多个管理员帐户是否是一种好习惯是值得商榷的......
JR
您的网络帐户可能是计算机的本地管理员,但您可能不在 Account Operator 组中。使用 /domain 开关,您甚至不必在实际服务器上运行它,只需使用来自域中任何计算机的适当凭据从命令提示符发出它。
网络用户? 呜呜呜_ 您应该使用DSMOD。
如果您不知道 userDN 是什么,请使用以下命令:
如果你想变得花哨,你可以将 DSQUERY 的结果直接通过管道传输到 DSMOD 中,如下所示:
如果要设置用户下次登录时必须更改密码标志,则将-mustchpwd yes添加到 DSMOD 参数字符串,如下所示: