ADMT 3.1 PES 安裝失敗,並出現錯誤:提供的密碼不符合此加密金鑰的密碼
本文可協助您解決當您在 Active Directory 移轉工具 3.1 版上設定密碼匯出伺服器 (PES) 服務時,「所提供的密碼不符合此加密密鑰的密碼」錯誤的問題。
原始 KB 編號: 2004090
徵兆
使用 ADMT KEY 下列命令,在來源網域 PDC 模擬器角色持有者的 Active Directory 移轉工具 3.1 版上設定密碼導出伺服器 (PES) 服務失敗,並出現下列畫面錯誤:
命令列語法:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT 來源網域> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
畫面上的錯誤:
對話框標題文字:密碼無效!
對話框訊息正文:提供的密碼不符合此加密金鑰的密碼。 ADMT 的密碼移轉篩選 DLL 不會在沒有有效的加密金鑰的情況下安裝。
原因
提供的密碼正確,但 Windows Installer (msiexec.exe) 無法開啟域控制器上原則物件的句柄,以儲存 PES 服務將使用的密碼。 失敗表示用戶帳戶沒有必要的許可權。
安裝 PES 服務的用戶必須是網域內建 Administrators 群組的成員。
此外,如果用戶帳戶不是內建 Administrators 帳戶的成員,且域控制器上已啟用使用者帳戶控制 (UAC),則使用者會在登入後以最少的使用者許可權執行。 若要存取域控制器上用來安裝 PES 服務的原則物件,用戶必須以完整許可權啟動 Pwdmig.msi 安裝程式檔案。
解決方法
執行 命令,確定安裝 PES 服務的使用者帳戶是網域內建 Administrators 群組whoami /groups的成員,然後使用 [以系統管理員身分執行] 選項啟動的提升許可權命令提示字元視窗中執行Pwdmig.msi安裝程式檔案。
或者,您可以啟動提升許可權的命令提示字元視窗、將目錄變更為您下載 PES 安裝程式的位置,然後執行 msiexec /i pwdmig.msi 命令。
其他相關資訊
如果您看到命令 whoami /groups 的輸出如下所示,這表示以最少使用者許可權登入的使用者。 雖然他們是內建 Administrators 群組的成員,但他們沒有使用此令牌執行系統管理工作的許可權。
Whoami /groups 輸出:
| 群組名稱 | 類型 | SID | 屬性 |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| 每個人 | 已知群組 | S-1-1-0 | 必要群組、預設為啟用的群組、已啟用的群組 |
| BUILTIN\Administrators | Alias | S-1-5-32-544 | 僅用於拒絕的群組 |
| BUILTIN\Users | Alias | S-1-5-32-545 | 必要群組、預設為啟用的群組、已啟用的群組 |
| .... |