Fehlerüberwachungsereignis ID 628 tritt ein, wenn das lokales Domänengruppenmitglied das Kennwort des anderen Kontos ändert

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 822377 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Objektverwaltung zu einer lokalen Domänengruppe in Microsoft Windows 2000 Server und dann Sie der Gruppe die Kennwörter für Benutzerkonten zurücksetzen Berechtigung (das "User-Force--Kennwort ändern" nach rechts erweitert) für eine Organisationseinheit (OU), zuweisen wenn ein Mitglied der Gruppe eine Änderung des Kennworts für einen Benutzer in der ORGANISATIONSEINHEIT erzwingt, ist das folgende Fehler Audit-Ereignis im Sicherheitsereignisprotokoll auf dem Domänencontroller protokolliert:


Event Type:	Failure
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:		MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C437)

Anschließend werden die folgenden Erfolgsüberwachungsereignisse im der Sicherheit-Ereignisprotokoll protokolliert:


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	642
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account Changed:
 	-
 	Target Account Name:	TestUser
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)
 	Privileges:	-


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)

Die Fehlerüberwachungsereignis, die ID 628 nicht auftritt, wird eine globale Gruppe, delegiert die Berechtigung Kennwort zurücksetzen , um die ORGANISATIONSEINHEIT.

Ursache

Der Fehler überwachen Ereignis ID 628 tritt auf, weil der erste Versuch zum Ändern des Kennworts Ziel vom Clientcomputer mithilfe von Kerberos "Kpasswd" Protokoll (UDP) gesendet wird. Das Token "Kpasswd" Datagramm enthält keine Domäne lokale Gruppe Sicherheitskennungen (SIDs). Das Token wird im Ticket KRB_AS_REQ-KRB_AS_REP Broadcaststreams, die bei der Benutzeranmeldung abgerufen wird. Die Antwort des Servers verwendet eine interne Sicherheitskontenverwaltung (SAM)-Funktion zum Auflisten der Gruppenmitgliedschaft für den Benutzer. Domänenlokale Gruppen werden nicht in diese Liste der Konto-SIDs (Token) zurückgegeben.

Die zweite Versuch erfolgreich ist (Erfolgsüberwachungsereignis IDs 642 und 628) da sich das Kennwort ändern wird wiederholt mithilfe der SAM (RPC)-Schnittstelle, das Benutzerkennwort festzulegen.

Lösung

Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, senden Sie eine Anfrage an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Dieser Hotfix erfordert Windows 2000 Service Pack 3 (SP3) oder höher.

Neustart

Sie müssen den Computer nach der Installation dieses Hotfixes neu starten.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time () angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln verwenden Sie die Registerkarte Zeitzone des Tools ? Datum und Uhrzeit in der Systemsteuerung.
   Date         Time   Version        Size       File name
   ----------------------------------------------------------
   05-Nov-2003  20:04  5.0.2195.6824    124,688  Adsldp.dll
   05-Nov-2003  20:04  5.0.2195.6824    132,368  Adsldpc.dll
   05-Nov-2003  20:04  5.0.2195.6824     63,760  Adsmsext.dll
   05-Nov-2003  20:04  5.0.2195.6824    381,712  Advapi32.dll
   05-Nov-2003  20:04  5.0.2195.6866     69,904  Browser.dll
   05-Nov-2003  20:04  5.0.2195.6824    136,464  Dnsapi.dll
   05-Nov-2003  20:04  5.0.2195.6824     96,016  Dnsrslvr.dll
   05-Nov-2003  20:04  5.0.2195.6866     47,376  Eventlog.dll
   05-Nov-2003  20:04  5.0.2195.6871    148,240  Kdcsvc.dll
   05-Nov-2003  19:32  5.0.2195.6871    205,584  Kerberos.dll
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   29-Oct-2003  06:45  5.0.2195.6869    511,248  Lsasrv.dll
   29-Oct-2003  06:45  5.0.2195.6869     33,552  Lsass.exe
   17-Oct-2003  00:33  5.0.2195.6866    114,960  Msv1_0.dll
   05-Nov-2003  20:04  5.0.2195.6866    307,984  Netapi32.dll
   05-Nov-2003  20:04  5.0.2195.6863    361,232  Netlogon.dll
   05-Nov-2003  20:04  5.0.2195.6869    931,600  Ntdsa.dll
   05-Nov-2003  20:04  5.0.2195.6824    392,464  Samsrv.dll
   05-Nov-2003  20:04  5.0.2195.6824    113,936  Scecli.dll
   05-Nov-2003  20:04  5.0.2195.6824    259,856  Scesrv.dll
   30-Sep-2003  20:56  5.0.2195.6826  5,298,176  Sp3res.dll
   05-Nov-2003  20:04  5.0.2195.6824     48,912  W32time.dll
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe
   05-Nov-2003  20:04  5.0.2195.6869    126,224  Wldap32.dll

Abhilfe

Um dieses Problem zu umgehen, delegieren Sie die Berechtigung Zurücksetzen der Kennwörter für Benutzerkonten , globale Gruppen anstelle von lokalen Domänengruppen.

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Weitere Informationen

Weitere Informationen über Kerberos in Windows 2000 finden Sie die folgende KB-Artikelnummer:
248758Informationen über die Windows 2000-Implementierung
Weitere Informationen dazu, wie Verwaltungsfunktionen in Windows 2000 finden Sie die folgende KB-Artikelnummer:
315676Zum Delegieren der Verwaltungsautorität in Windows 2000
Weitere Informationen zu Hotfix-Paketen und deren Bezeichnungen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
816915Neues Schema für die Dateibenennung in Microsoft Windows-Softwareaktualisierungspaketen
Weitere Informationen zu Standardterminologie, die zur Beschreibung der Microsoft-Softwareupdates verwendet wird, finden Sie die folgende KB-Artikelnummer:
824684Erläuterung von Standardbegriffen bei Microsoft Softwareupdates

Eigenschaften

Artikel-ID: 822377 - Geändert am: Donnerstag, 26. Oktober 2006 - Version: 2.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB822377 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 822377
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com