ADMT 3.1 PES のインストールがエラーで失敗する: 指定されたパスワードがこの暗号化キーのパスワードと一致しません
この記事は、Active Directory 移行ツール バージョン 3.1 でパスワード エクスポート サーバー (PES) サービスを構成するときに、"指定されたパスワードがこの暗号化キーのパスワードと一致しません" というエラーが発生する問題を解決するのに役立ちます。
元の KB 番号: 2004090
現象
次に示すコマンドを使用して ADMT KEY 、ソース ドメイン PDC エミュレーターロール所有者の Active Directory 移行ツール バージョン 3.1 でパスワード エクスポート サーバー (PES) サービスを構成すると、次の画面エラーが発生します。
コマンド ライン構文:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT ソース ドメイン> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
画面に表示されるエラー:
ダイアログ タイトル テキスト: パスワードが無効です。
ダイアログ メッセージ テキスト:指定されたパスワードがこの暗号化キーのパスワードと一致しません。 ADMT のパスワード移行フィルター DLL は、有効な暗号化キーなしではインストールされません。
原因
指定されたパスワードは正しかったですが、Windows インストーラー (msiexec.exe) は、PES サービスで使用されるパスワードを保存するために、ドメイン コントローラーのポリシー オブジェクトへのハンドルを開けませんでした。 このエラーは、ユーザー アカウントに必要なアクセス許可がなかったことを示します。
PES サービスをインストールするユーザーは、ドメインの組み込み Administrators グループのメンバーである必要があります。
さらに、ユーザー アカウントが組み込みの Administrators アカウントのメンバーではなく、ユーザー アカウント制御 (UAC) がドメイン コントローラーで有効になっている場合、ユーザーはログオン後に最小限のユーザー特権で実行されます。 PES サービスをインストールするためにドメイン コントローラー上のポリシー オブジェクトにアクセスするには、完全な権限を持つ Pwdmig.msi セットアップ ファイルを起動する必要があります。
解決方法
PES サービスをインストールするユーザー アカウントが、コマンドを実行whoami /groupsしてドメインの組み込み Administrators グループのメンバーであることを確認し、[管理者として実行] オプションで起動した管理者特権のコマンド プロンプト ウィンドウで Pwdmig.msi セットアップ ファイルを実行します。
または、管理者特権のコマンド プロンプト ウィンドウを起動し、ディレクトリを PES インストーラーをダウンロードしたディレクトリに変更し、コマンドを msiexec /i pwdmig.msi 実行することもできます。
詳細
コマンド whoami /groups の出力が次のように表示される場合は、最小限のユーザー特権でログインしたユーザーを意味します。 組み込みの Administrators グループのメンバーですが、このトークンを使用して管理タスクを実行するアクセス許可がありません。
Whoami /groups 出力:
| Group Name | 種類 | SID | 属性 |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| すべてのユーザー | 既知のグループ | S-1-1-0 | 必須グループ、既定で有効、有効なグループ |
| BUILTIN\Administrators | Alias | S-1-5-32-544 | 拒否のみに使用されるグループ |
| BUILTIN\Users | Alias | S-1-5-32-545 | 必須グループ、既定で有効、有効なグループ |
| .... |