ADMT 3.1 PES のインストールがエラーで失敗する: 指定されたパスワードがこの暗号化キーのパスワードと一致しません
この記事は、Active Directory 移行ツール バージョン 3.1 でパスワード エクスポート サーバー (PES) サービスを構成するときに、"指定されたパスワードがこの暗号化キーのパスワードと一致しない" というエラーが発生する問題を解決するのに役立ちます。
元の KB 番号: 2004090
現象
次に示す ADMT KEY コマンドを使用して、ソース ドメイン PDC エミュレーターの役割所有者の Active Directory 移行ツール バージョン 3.1 でパスワード エクスポート サーバー (PES) サービスを構成すると、次の画面エラーが表示され、失敗します。
コマンド ライン構文:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT ソース ドメイン> /KEYFILE:x:\<path>\<filename>.pes /PWD:*
画面上のエラー:
ダイアログ タイトル テキスト: パスワードが無効です。
ダイアログ メッセージ テキスト:指定されたパスワードがこの暗号化キーのパスワードと一致しません。 ADMT のパスワード移行フィルター DLL は、有効な暗号化キーがないとインストールされません。
原因
指定されたパスワードは正しくありましたが、Windows インストーラー (msiexec.exe) は、PES サービスで使用されるパスワードを保存するために、ドメイン コントローラー上のポリシー オブジェクトへのハンドルを開けませんでした。 このエラーは、ユーザー アカウントに必要なアクセス許可がなかったことを示します。
PES サービスをインストールするユーザーは、ドメインの組み込み Administrators グループのメンバーである必要があります。
さらに、ユーザー アカウントが組み込みの Administrators アカウントのメンバーではなく、ドメイン コントローラーでユーザー アカウント制御 (UAC) が有効になっている場合、ユーザーはログオン後に最小限のユーザー特権で実行されます。 PES サービスをインストールするためにドメイン コントローラー上のポリシー オブジェクトにアクセスするには、完全な特権で Pwdmig.msi セットアップ ファイルを起動する必要があります。
解決方法
pes サービスをインストールするユーザー アカウントが、whoami /groups コマンドを実行してドメインの組み込み Administrators グループのメンバーであることを確認し、管理者として実行 オプションで起動された管理者特権のコマンド プロンプト ウィンドウでPwdmig.msiセットアップ ファイルを実行します。
または、管理者特権でのコマンド プロンプト ウィンドウを起動し、PES インストーラーをダウンロードしたディレクトリにディレクトリを変更してから、 msiexec /i pwdmig.msi コマンドを実行することもできます。
詳細
コマンド whoami /groups の出力が次のように表示される場合は、ユーザーが最小限のユーザー特権でログインしたことを意味します。 組み込みの Administrators グループのメンバーですが、このトークンを使用して管理タスクを実行するアクセス許可がありません。
Whoami /groups アウトプット:
| グループ名 | Type | SID | 属性 |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| すべてのユーザー | 既知のグループ | S-1-1-0 | 必須グループ、既定で有効、有効なグループ |
| BUILTIN\Administrators | エイリアス | S-1-5-32-544 | 拒否のみに使用されるグループ |
| BUILTIN\Users | エイリアス | S-1-5-32-545 | 必須グループ、既定で有効、有効なグループ |
| .... |