При изменении членом локальной группы домена пароля другой учетной записи происходит событие аудита отказов ID 628

Переводы статьи Переводы статьи
Код статьи: 822377 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

Если делегирование управления в локальную группу домена Microsoft Windows 2000 Server и затем назначить группеСброс паролей учетных записей пользователейразрешение ("-Force изменение пароль пользователя" расширенные права) для подразделения (OU), когда член группы вызывает изменение пароля для пользователя в Подразделении, в журнале событий безопасности на контроллере домена регистрируется следующее событие аудита отказов.


Event Type:	Failure
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:		MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C437)

Как следствие в журнале безопасности регистрируются следующие события аудита успехов:


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	642
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account Changed:
 	-
 	Target Account Name:	TestUser
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)
 	Privileges:	-


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)

Событие аудита отказов, ID 628 не наблюдается делегировать глобальной группыСброс пароляразрешения для Подразделения.

Причина

Сбой аудита событий ID 628 происходит потому, что первая попытка изменения пароля учетной записи конечного передается клиентским компьютером с помощью Kerberos "kpasswd" протокол User Datagram Protocol (UDP). Маркер датаграммы "kpasswd" не содержит локальную группу домена-идентификаторы безопасности (SID). Маркер, отправляемый в билете KRB_AS_REQ/KRB_AS_REP, полученный во время входа пользователя в систему. Ответ сервера использует внутренней функции диспетчера учетных записей безопасности (SAM) для пользователя членства в группах. В этом списке учетной записи кодов безопасности (маркер), локальные группы домена не возвращаются.

Вторая попытка прошла успешно (событие аудита успеха 642 И 628) так, как изменить пароль повторяется с помощью интерфейса SAM удаленного вызова процедур (RPC), чтобы задать пароль пользователя.

Решение

Сведения об исправлении

Вам доступно исправление от корпорации Майкрософт.. Это исправление предназначено для устранения проблемы, описанной в этой статье.. Его необходимо применять только в тех системах, в которых наблюдается данная проблема..

Если исправление доступно для загрузки, имеется раздел «Доступные загрузки» в верхней части этой статьи базы знаний.. Если этого раздела нет, отправьте запрос на получение исправления в службу поддержки клиентов корпорации Майкрософт..

Примечание.Другие проблемы или если требуется устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются вами дополнительно.. Полный список телефонов поддержки и обслуживания клиентов Microsoft или информацию по созданию отдельного запроса на обслуживание вы можете найти на веб-сайте Майкрософт::
http://support.microsoft.com/contactus/?ws=support
Примечание.В форме "Исправление доступно для загрузки" отображаются языки, для которых доступно исправление. Если язык не отображается, это значит, что исправление не доступно для данного языка..

Предвартельные требования

Это исправление требует пакета обновления 3 (SP3) или более поздней версии.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить..

Сведения о заменяемых исправлениях

Это исправление не заменяет других исправлений..

СВЕДЕНИЯ О ФАЙЛАХ

Английская версия этого исправления содержит версии файлов, приведенные в следующей таблице, или более поздние.. Дата и время для файлов указаны во всеобщем скоординированном времени (UTC).. При просмотре сведений о файле, время изменяется на местное.. Чтобы узнать разницу между временем по Гринвичу и местным временем,Часовой поясвкладки в окне «Дата и время» панели управления.
   Date         Time   Version        Size       File name
   ----------------------------------------------------------
   05-Nov-2003  20:04  5.0.2195.6824    124,688  Adsldp.dll
   05-Nov-2003  20:04  5.0.2195.6824    132,368  Adsldpc.dll
   05-Nov-2003  20:04  5.0.2195.6824     63,760  Adsmsext.dll
   05-Nov-2003  20:04  5.0.2195.6824    381,712  Advapi32.dll
   05-Nov-2003  20:04  5.0.2195.6866     69,904  Browser.dll
   05-Nov-2003  20:04  5.0.2195.6824    136,464  Dnsapi.dll
   05-Nov-2003  20:04  5.0.2195.6824     96,016  Dnsrslvr.dll
   05-Nov-2003  20:04  5.0.2195.6866     47,376  Eventlog.dll
   05-Nov-2003  20:04  5.0.2195.6871    148,240  Kdcsvc.dll
   05-Nov-2003  19:32  5.0.2195.6871    205,584  Kerberos.dll
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   29-Oct-2003  06:45  5.0.2195.6869    511,248  Lsasrv.dll
   29-Oct-2003  06:45  5.0.2195.6869     33,552  Lsass.exe
   17-Oct-2003  00:33  5.0.2195.6866    114,960  Msv1_0.dll
   05-Nov-2003  20:04  5.0.2195.6866    307,984  Netapi32.dll
   05-Nov-2003  20:04  5.0.2195.6863    361,232  Netlogon.dll
   05-Nov-2003  20:04  5.0.2195.6869    931,600  Ntdsa.dll
   05-Nov-2003  20:04  5.0.2195.6824    392,464  Samsrv.dll
   05-Nov-2003  20:04  5.0.2195.6824    113,936  Scecli.dll
   05-Nov-2003  20:04  5.0.2195.6824    259,856  Scesrv.dll
   30-Sep-2003  20:56  5.0.2195.6826  5,298,176  Sp3res.dll
   05-Nov-2003  20:04  5.0.2195.6824     48,912  W32time.dll
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe
   05-Nov-2003  20:04  5.0.2195.6869    126,224  Wldap32.dll

Временное решение

Чтобы обойти эту проблему, делегированиеСброс паролей учетных записей пользователейРазрешение глобальных групп, а не в локальные группы домена.

Статус

Данное поведение является подтвержденной ошибкой продуктов Майкрософт, перечисленных в начале данной статьи..

Дополнительная информация

Для получения дополнительных сведений о Kerberos в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
248758Сведения о реализации Windows 2000 Kerberos
Для получения дополнительных сведений о том, как передача управления в Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
315676Инструкции по делегированию административных полномочий в Windows 2000
Дополнительные сведения об именах пакетов обновления см. в следующей статье базы знаний Майкрософт::
816915Новая схема присвоения имен файлов для пакетов обновления программного обеспечения Microsoft Windows
Дополнительные сведения о стандартной терминологии, которую корпорация Майкрософт использует для описания обновлений программного обеспечения, см. в следующей статье базы знаний Майкрософт::
824684Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Свойства

Код статьи: 822377 - Последний отзыв: 25 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbwin2000presp5fix kbmt KB822377 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:822377

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com