Отказано в доступе при смене пароля Windows

28.11.2018   Windows 8/8.1   No comments

пароль windows logoДобрый день! Уважаемые читатели и подписчики, крупного IT блога рунета Pyatilistnik.org. Сегодня мне нужно было протестировать одну настройку гранулированных паролей PSO. Я создал политику и стал на тестовой виртуальной машине менять у пользователя пароль. Какого же было мое удивление, что я увидел сообщение "Отказано в доступе" в момент смены пароля. В данной заметке я бы вам хотел подробнее рассказать из-за чего это может быть. Уверен, что начинающим администраторам, данный материал будет полезен.

Почему пишет отказано в доступе?

По умолчанию в операционной системе Windows, абсолютно любой пользователь по умолчанию может менять пароль без каких либо ограничений, при условии, что он знает текущий пароль.

Как сменить пароль учетной записи Windows, я подробно уже описывал

Все было как обычно, я взял своего любимого, тестового пользователя Барбоскина Геннадия и решил ему поменять его текущий пароль на другой, мне нужно было протестировать записи аудита в журнал безопасности на контроллере домена. Я вбил текущий пароль и два раза новый пароль, который соответствовал политике PSO.

Смена пароля пользователя Windows 10

В результате я получил на действие "Сменить пароль" я получил, что в доступе отказано.

Отказано в доступе при смене пароля

Причин такого поведения несколько:

  • Если у вас учетная запись является участником домена Active Directory, то есть вероятность, что она попадает под политику или для нее включен атрибут PASSWD_CANT_CHANGE (Запретить смену пароля пользователем)
  • Если у вас обычная, локальная учетная запись, то так же могут действовать запрещающие локальные политики в вашей операционной системе Windows
  • Не правильное значение в реестре Windows

Что делать если пишет отказано в доступе?

Почему пишет отказано в доступе я вам описал выше, осталось все теперь поправить и разрешить менять пароль, мы же с вами радеем за безопасность.

Подобного рода проблему мы с вами уже рассматривали с принтерами, там было вот такое сообщение "Подключение к принтеру: Windows не удается подключиться к принтеру. Отказано в доступе"

Проверка атрибута, запретить смену пароля пользователем

Так как у меня в моей тестовое локальной сети развернут домен Active Directory, то я первым белом хотел посмотреть параметр PASSWD_CANT_CHANGE в свойствах учетной записи. Открываете оснастку ADUC (Active Directory – пользователи и компьютеры). Найдите вашего пользователя и откройте у него свойства. Перейдите на вкладку "Учетная запись". В разделе "Параметры учетной записи" удостоверьтесь, что не установлена галка "Запретить смену пароля пользователя" именно из-за нее у меня при попытке сменить пароль и выскакивало уведомление "Отказано в доступе".

галка запретить смену пароля пользователем

Этот же параметр можно увидеть в редакторе атрибутов Active Directory. Открывает соответствующую вкладку и находим в самом низу атрибут "userAccountControl", у которого будет значение 0x-10200 = ACCOUNTDISABLE|PASSWD_CANT_CHANGE

Атрибут запретить смену пароля пользователем-01

Примечание: Данное разрешение невозможно назначить при помощи прямой правки атрибута UserAccountControl. https://support.microsoft.com/ru-ru/help/305144/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-pro

Тут значение значение 0xчисло, складывается из количества установленных атрибутов для UserAccountControl. В десятичном виде, число будет выглядеть более привычно.

Атрибут запретить смену пароля пользователем-02

Этот же атрибут, можно проверить открыв PowerShell и введя команду:

Get-ADUser -Identity barboskin.g -Properties *

Вы получите все атрибуты нужного вам пользователя. Нас будет интересовать параметр "CannotChangePassword", если стоит "False", то он выключен, если стоит "True", то он включен.

CannotChangePassword в AD

Отказано в доступе при смене пароля на локальном компьютере

С доменной инфраструктурой мы разобрались, теперь давайте я покажу, что нужно проверить, если у вас обычный домашний компьютер.

Откройте окно выполнить в вашей операционной системе, напоминаю, для этого нажмите одновременно клавиши WIN и R. Введите там имя оснастки локальной групповой политики:

gpedit.msc

gredit.msc

У вас откроется локальный редактор групповой политики. В нем вам необходимо перейти по такому пути:

Конфигурация пользователя - Административные шаблоны - Система - Варианты действий после нажатия CTRL+ALT+DEL

Тут вам необходимо проверить, какой статус у политики "Запретить изменение пароля", если она включена, именно она вызывает сообщение об отказе доступа к изменению вашего пароля. Чтобы это исправить, вам нужно ее либо отключить, либо сделать статус "Не задано", после чего либо перезагрузить вашу системы или же обновить групповую политику через командную строку.

запрет изменения пароля gpedit

Проверка ключей реестра

Со вторым способом мы разобрались, если у вас в локальной групповой политике ничего нет, то проверим определенный ключ реестра, который может запрещать изменения пароля пользователя в Windows. Открываем окно выполнить и пишем в нем regedit.

Открытие редактора реестра

Переходим в ветку:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

Вам необходимо убедиться, что в политиках нет ключа реестра DisableChangePassword со значением 1. Если ключ DisableChangePassword присутствует, то его либо нужно удалить, либо изменить его значение на 0. Изменения вступают в силу сразу, перезагрузка не потребуется.

Отключение отказано в доступе через реестр

Если у вас не получается изменить пароль, то я вам советую воспользоваться загрузочным диском для сброса

Вот такие вот есть варианты решения проблемы с отказом доступа при изменении пароля пользователя Windows, а с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:

Автор - Сёмин Иван

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *