ADMT 3.1 PES 安装失败并出现错误:提供的密码与此加密密钥的密码不符
本文有助于解决在 Active Directory 迁移工具版本 3.1 上配置密码导出服务器(PES)服务时出现“提供的密码与此加密密钥的密码不匹配”错误的问题。
原始 KB 数: 2004090
现象
在 ADMT KEY 源域 PDC 模拟器角色持有者上的 Active Directory 迁移工具版本 3.1 上配置密码导出服务器(PES)服务失败,出现以下屏幕错误:
命令行语法:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT 源域> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
屏幕错误:
对话框标题文本:密码无效!
对话框消息文本:提供的密码与此加密密钥的密码不匹配。 ADMT 的密码迁移筛选器 DLL 不会在没有有效的加密密钥的情况下安装。
原因
提供的密码正确,但 Windows Installer (msiexec.exe) 未能打开域控制器上的策略对象的句柄,以保存 PES 服务将使用的密码。 失败表示用户帐户没有所需的权限。
安装 PES 服务的用户必须是域的内置管理员组的成员。
此外,如果用户帐户不是内置管理员帐户的成员,并且域控制器上启用了用户帐户控制(UAC),则用户在登录后以最低用户权限运行。 若要访问域控制器上的策略对象以安装 PES 服务,用户必须以完全权限启动 Pwdmig.msi 安装文件。
解决方法
通过运行whoami /groups命令,确保安装 PES 服务的用户帐户是域内置管理员组的成员,然后使用“以管理员身份运行”选项启动的提升命令提示符窗口中运行Pwdmig.msi安装程序文件。
或者,可以启动提升的命令提示符窗口,将目录更改为下载 PES 安装程序的位置,然后运行 msiexec /i pwdmig.msi 该命令。
详细信息
如果看到命令 whoami /groups 的输出如下所示,则表示以最少用户权限登录的用户。 尽管他们是内置管理员组的成员,但他们无权使用此令牌执行管理任务。
Whoami /groups 输出:
| 组名称 | 类型 | SID | 特性 |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| 所有人 | 已知组 | S-1-1-0 | 必需组,默认启用,已启用组 |
| BUILTIN\Administrators | 别名 | S-1-5-32-544 | 仅用于拒绝的组 |
| BUILTIN\Users | 别名 | S-1-5-32-545 | 必需组,默认启用,已启用组 |
| .... |