域本地组成员更改另一个帐户的密码时发生失败审核事件 ID 628

文章翻译 文章翻译
文章编号: 822377 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

如果要在 Microsoft Windows 2000 Server,一个域本地组的控制权委派,并且然后组 用户帐户的密码重设 的权限 (在"用户-强制的更改的密码"向右扩展) 的组织单位 (OU) 时指定组的成员将强制该 OU 中的用户的密码更改域控制器上的安全事件日志中记录以下的失败审核事件:


Event Type:	Failure
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:		MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C437)

随后,以下的成功审核事件记录在安全事件日志中:


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	642
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account Changed:
 	-
 	Target Account Name:	TestUser
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)
 	Privileges:	-


Event Type:	Success
Event Source:	Security
Event Category:	Account Management 
Event ID:	628
User:		MYDOMAIN\MyLocalGroupMember

Description:
User Account password set:
 	Target Account Name:	
 	Target Domain:	MYDOMAIN
 	Target Account ID:	MYDOMAIN\TestUser
 	Caller User Name:	MyLocalGroupMember
 	Caller Domain:	MYDOMAIN
 	Caller Logon ID:	(0x0,0x83C1BD)

故障审核事件 ID 628 全局组时不会发生委派 OU 重新设置密码 权限。

原因

故障审核的事件 ID 628 出现的原因是第一次尝试更改目标帐户的密码提交的客户端计算机上,通过使用 Kerberos"kpasswd"用户数据报协议 (UDP) 协议。"kpasswd"数据报令牌不包含域本地组的安全标识符 (sid)。 在用户登录过程中所得到的 KRB_AS_REQ/KRB_AS_REP 票证,该标记是指明其出处。服务器响应使用内部安全帐户管理器 (SAM) 函数枚举该用户的组成员身份。域本地组不会返回在此列表中的帐户 sid (令牌)。

第二次尝试将成功 (成功审核事件 id 642 和 628) 由于密码更改试通过 SAM 远程过程调用 (RPC) 接口来设置用户密码。

解决方案

修复程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果未出现本部分,将申请提交到 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

此修补程序需要 Windows 2000 Service Pack 3 (SP3) 或更高版本。

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替代信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有文件属性 (或更高版本) 下表中列出。其格式为协调通用时间 (UTC) 列出日期和时间对这些文件。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。
   Date         Time   Version        Size       File name
   ----------------------------------------------------------
   05-Nov-2003  20:04  5.0.2195.6824    124,688  Adsldp.dll
   05-Nov-2003  20:04  5.0.2195.6824    132,368  Adsldpc.dll
   05-Nov-2003  20:04  5.0.2195.6824     63,760  Adsmsext.dll
   05-Nov-2003  20:04  5.0.2195.6824    381,712  Advapi32.dll
   05-Nov-2003  20:04  5.0.2195.6866     69,904  Browser.dll
   05-Nov-2003  20:04  5.0.2195.6824    136,464  Dnsapi.dll
   05-Nov-2003  20:04  5.0.2195.6824     96,016  Dnsrslvr.dll
   05-Nov-2003  20:04  5.0.2195.6866     47,376  Eventlog.dll
   05-Nov-2003  20:04  5.0.2195.6871    148,240  Kdcsvc.dll
   05-Nov-2003  19:32  5.0.2195.6871    205,584  Kerberos.dll
   21-Sep-2003  00:32  5.0.2195.6824     71,888  Ksecdd.sys
   29-Oct-2003  06:45  5.0.2195.6869    511,248  Lsasrv.dll
   29-Oct-2003  06:45  5.0.2195.6869     33,552  Lsass.exe
   17-Oct-2003  00:33  5.0.2195.6866    114,960  Msv1_0.dll
   05-Nov-2003  20:04  5.0.2195.6866    307,984  Netapi32.dll
   05-Nov-2003  20:04  5.0.2195.6863    361,232  Netlogon.dll
   05-Nov-2003  20:04  5.0.2195.6869    931,600  Ntdsa.dll
   05-Nov-2003  20:04  5.0.2195.6824    392,464  Samsrv.dll
   05-Nov-2003  20:04  5.0.2195.6824    113,936  Scecli.dll
   05-Nov-2003  20:04  5.0.2195.6824    259,856  Scesrv.dll
   30-Sep-2003  20:56  5.0.2195.6826  5,298,176  Sp3res.dll
   05-Nov-2003  20:04  5.0.2195.6824     48,912  W32time.dll
   21-Sep-2003  00:32  5.0.2195.6824     57,104  W32tm.exe
   05-Nov-2003  20:04  5.0.2195.6869    126,224  Wldap32.dll

替代方法

要变通解决此问题,委派给域本地组的全局组而不是 重新设置用户帐户的密码 权限。

状态

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中的问题。

更多信息

有关在 Windows 2000 中的 Kerberos 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248758有关 Windows 2000 Kerberos 实现信息
有关如何在 Windows 2000 的控制权委派的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
315676如何在 Windows 2000 的管理权限委派
有关如何命名修补程序包的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816915对于 Microsoft Windows 软件更新程序包的新文件命名架构
有关用于描述 Microsoft 软件更新的标准术语的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 822377 - 最后修改: 2006年10月26日 - 修订: 2.5
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB822377 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 822377
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com