Échec d'audit événement ID 628 se produit lorsque le membre de groupe local de domaine modifie le mot de passe d'un autre compte

Traductions disponibles Traductions disponibles
Numéro d'article: 822377 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Si vous déléguez le contrôle à un groupe local de domaine dans Microsoft Windows 2000 Server et puis vous accordez au groupe le réinitialiser les mots de passe sur les comptes d'utilisateur autorisation (le « User-force-Modifier-mot de passe » étendu droite) pour une unité d'organisation (OU), lorsqu'un membre du groupe force un changement de mot de passe pour un utilisateur dans l'unité D'ORGANISATION, l'événement d'audit Échec suivant est enregistré dans le journal des événements sur le contrôleur de domaine de sécurité :


Event Type:	Failure
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:		MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C437)

Par conséquent, les événements d'audit de réussite suivants sont enregistrés dans le journal des événements de sécurité :


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	642
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account Changed:
 	-
 	Target Account Name:	TestUser
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)
 	Privileges:	-


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)

L'événement d'audit Échec QU'ID 628 ne se lors d'un groupe global est délégué l'autorisation de réinitialiser à l'unité D'ORGANISATION.

Cause

L'échec d'audit d'événement ID 628 se produit parce que la première tentative de modification du mot de passe du compte cible est envoyée par l'ordinateur client à l'aide de la Kerberos kpasswd protocole UDP (User Datagram Protocol). Le jeton de datagramme « kpasswd » ne contient pas domaine groupe local identificateurs de sécurité (SID). Le jeton est origine dans le ticket KRB_AS_REQ/KRB_AS_REP qui obtenu lors de l'ouverture de session utilisateur. La réponse du serveur utilise une fonction de gestionnaire de comptes de sécurité (SAM) interne pour énumérer appartenance au groupe de l'utilisateur. Les groupes locaux de domaine ne sont pas renvoyées dans cette liste de SID le jeton des comptes.

La deuxième tentative réussit (succès d'audit événement ID 642 et 628) car le mot de passe Changer est essayée à nouveau en utilisant l'interface SAM appel de procédure distante (RPC) pour configurer le mot de passe utilisateur.

Résolution

Informations sur le correctif

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour le téléchargement, il est une section « téléchargement correctif disponible » en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, soumettez une demande à Microsoft client service et support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue.

Conditions préalables

Ce correctif requiert le Service Pack 3 (SP3) Windows 2000 ou version ultérieure.

Redémarrez les besoins

Vous devez redémarrer votre ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement de correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en coordinated universal temps (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'outil Date et heure du Panneau de configuration.
   Date         Time   Version        Size       File name
   ----------------------------------------------------------
   05-Nov-2003  20:04  5.0.2195.6824    124,688  Adsldp.dll
   05-Nov-2003  20:04  5.0.2195.6824    132,368  Adsldpc.dll
   05-Nov-2003  20:04  5.0.2195.6824     63,760  Adsmsext.dll
   05-Nov-2003  20:04  5.0.2195.6824    381,712  Advapi32.dll
   05-Nov-2003  20:04  5.0.2195.6866     69,904  Browser.dll
   05-Nov-2003  20:04  5.0.2195.6824    136,464  Dnsapi.dll
   05-Nov-2003  20:04  5.0.2195.6824     96,016  Dnsrslvr.dll
   05-Nov-2003  20:04  5.0.2195.6866     47,376  Eventlog.dll
   05-Nov-2003  20:04  5.0.2195.6871    148,240  Kdcsvc.dll
   05-Nov-2003  19:32  5.0.2195.6871    205,584  Kerberos.dll
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   29-Oct-2003  06:45  5.0.2195.6869    511,248  Lsasrv.dll
   29-Oct-2003  06:45  5.0.2195.6869     33,552  Lsass.exe
   17-Oct-2003  00:33  5.0.2195.6866    114,960  Msv1_0.dll
   05-Nov-2003  20:04  5.0.2195.6866    307,984  Netapi32.dll
   05-Nov-2003  20:04  5.0.2195.6863    361,232  Netlogon.dll
   05-Nov-2003  20:04  5.0.2195.6869    931,600  Ntdsa.dll
   05-Nov-2003  20:04  5.0.2195.6824    392,464  Samsrv.dll
   05-Nov-2003  20:04  5.0.2195.6824    113,936  Scecli.dll
   05-Nov-2003  20:04  5.0.2195.6824    259,856  Scesrv.dll
   30-Sep-2003  20:56  5.0.2195.6826  5,298,176  Sp3res.dll
   05-Nov-2003  20:04  5.0.2195.6824     48,912  W32time.dll
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe
   05-Nov-2003  20:04  5.0.2195.6869    126,224  Wldap32.dll

Contournement

Pour contourner ce problème, déléguer des autorisations de réinitialiser les mots de passe de comptes d'utilisateurs à des groupes globaux à des groupes locaux de domaine au lieu des.

Statut

Microsoft a confirmé que c'est un problème dans les produits Microsoft répertoriés au début de cet article.

Plus d'informations

Pour plus d'informations sur Kerberos dans Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
248758 Informations sur l'implémentation de Windows 2000 Kerberos
Pour plus d'informations sur la façon de déléguer le contrôle dans Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
315676 Comment déléguer l'autorité administrative dans Windows 2000
Pour plus d'informations sur la façon de nommer packages de correctifs, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
816915 Nouveau fichier de schéma d'appellation pour les packages de mise à jour logicielle Microsoft Windows
Pour plus d'informations sur la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684 Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Propriétés

Numéro d'article: 822377 - Dernière mise à jour: jeudi 26 octobre 2006 - Version: 2.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB822377 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 822377
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com