Falha de auditoria evento ID 628 ocorre quando o membro do grupo local de domínio altera a senha de outra conta

Traduções deste artigo Traduções deste artigo
ID do artigo: 822377 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Se você delegar o controle a um grupo local de domínio no Microsoft Windows 2000 Server e, em seguida, você atribuir o grupo a Redefinir senhas em contas de usuário permissão (o "usuário-Force-alterar-senha" estendido para a direita) para uma unidade organizacional (OU), quando um membro do grupo força uma alteração de senha para um usuário na OU, o seguinte evento de auditoria de falha é registrado no log de eventos de segurança no controlador de domínio:


Event Type:	Failure
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:		MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C437)

Posteriormente, os eventos de auditoria sucesso seguintes são registrados no log de eventos de segurança:


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	642
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account Changed:
 	-
 	Target Account Name:	TestUser
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)
 	Privileges:	-


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)

O evento de auditoria de falha que 628 ID não ocorre quando um grupo global é delegado a permissão Redefinir senha para a OU.

Causa

A falha de auditoria de evento ID 628 ocorre porque a primeira tentativa de alterar a senha de conta de destino é enviada pelo computador cliente usando o Kerberos "kpasswd" protocolo UDP (User Datagram Protocol). O token de datagrama "kpasswd" não contém identificadores de segurança de grupo local de domínio (SIDs). O token é originado no tíquete KRB_AS_REQ/KRB_AS_REP obtida durante o logon do usuário. A resposta do servidor usa uma função de Gerenciador de contas de segurança (SAM) interna para enumerar membros do grupo para o usuário. Grupos de domínio local não são retornados nessa lista de SIDs (token) da conta.

A segunda tentativa for bem-sucedida (êxito auditoria identificações de evento 642 e 628) como alterar a senha é repetida usando a interface do SAM (RPC) para definir a senha de usuário.

Resolução

Informações sobre hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibido, envie uma solicitação para suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Esse hotfix requer o Windows 2000 Service Pack 3 (SP3) ou posterior.

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas na acordo hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.
   Date         Time   Version        Size       File name
   ----------------------------------------------------------
   05-Nov-2003  20:04  5.0.2195.6824    124,688  Adsldp.dll
   05-Nov-2003  20:04  5.0.2195.6824    132,368  Adsldpc.dll
   05-Nov-2003  20:04  5.0.2195.6824     63,760  Adsmsext.dll
   05-Nov-2003  20:04  5.0.2195.6824    381,712  Advapi32.dll
   05-Nov-2003  20:04  5.0.2195.6866     69,904  Browser.dll
   05-Nov-2003  20:04  5.0.2195.6824    136,464  Dnsapi.dll
   05-Nov-2003  20:04  5.0.2195.6824     96,016  Dnsrslvr.dll
   05-Nov-2003  20:04  5.0.2195.6866     47,376  Eventlog.dll
   05-Nov-2003  20:04  5.0.2195.6871    148,240  Kdcsvc.dll
   05-Nov-2003  19:32  5.0.2195.6871    205,584  Kerberos.dll
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   29-Oct-2003  06:45  5.0.2195.6869    511,248  Lsasrv.dll
   29-Oct-2003  06:45  5.0.2195.6869     33,552  Lsass.exe
   17-Oct-2003  00:33  5.0.2195.6866    114,960  Msv1_0.dll
   05-Nov-2003  20:04  5.0.2195.6866    307,984  Netapi32.dll
   05-Nov-2003  20:04  5.0.2195.6863    361,232  Netlogon.dll
   05-Nov-2003  20:04  5.0.2195.6869    931,600  Ntdsa.dll
   05-Nov-2003  20:04  5.0.2195.6824    392,464  Samsrv.dll
   05-Nov-2003  20:04  5.0.2195.6824    113,936  Scecli.dll
   05-Nov-2003  20:04  5.0.2195.6824    259,856  Scesrv.dll
   30-Sep-2003  20:56  5.0.2195.6826  5,298,176  Sp3res.dll
   05-Nov-2003  20:04  5.0.2195.6824     48,912  W32time.dll
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe
   05-Nov-2003  20:04  5.0.2195.6869    126,224  Wldap32.dll

Como Contornar

Para contornar esse problema, delegar a permissão Redefinir senhas em contas de usuário a grupos globais em vez de grupos de domínio local.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados no começo deste artigo.

Mais Informações

Para obter informações adicionais sobre o Kerberos no Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
248758Informações sobre a implementação do Kerberos ao Windows 2000
Para obter informações adicionais sobre como delegar o controle no Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
315676Como delegar autoridade administrativa no Windows 2000
Para obter informações adicionais sobre como os pacotes de hotfix são nomeados, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
816915Novo esquema de nomeação de arquivo para pacotes de atualização de software do Microsoft Windows
Para obter informações adicionais sobre a terminologia padrão que é usada para descrever as atualizações de software da Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software

Propriedades

ID do artigo: 822377 - Última revisão: quinta-feira, 26 de outubro de 2006 - Revisão: 2.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB822377 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 822377

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com