IDM SAM Fehler “Windows 2000 API error. Function = LogonUserW, Return code = 0x80070569” und “AdjustTokenPrivileges 0x80070514”

IDM SAM Fehler “Windows 2000 API error. Function = LogonUserW, Return code = 0x80070569” und “AdjustTokenPrivileges 0x80070514”

IDM SAM Fehler “Windows 2000 API error. Function = LogonUserW, Return code = 0x80070569” und “AdjustTokenPrivileges 0x80070514”

Bei einem Kunden hatten wir das Problem, dass der IDM Agent auf den Domain Controllern zwar lief, das Backend aber keine Updates im Active Directory vornehmen konnte.Folgende Fehlermeldungen erschienen in zwei unterschiedlichen Domänen:

Windows 2000 API error. Function = LogonUserW, file = samw2c61.c, line = 274. Return code = ‘0x80070569’, message = ‘Logon failure: the user has not been granted the requested logon type at this computer.’.

Windows 2000 API error. Function = AdjustTokenPrivileges, file = samw2c72.c, line = 935. Return code = ‘0x80070514’, message= ‘Not all privileges or groups referenced are assigned to the caller.’, Trying to enable user right ‘SeSecurityPrivilege’,.

Damit der SAM Agent auf dem Domain Controller die erforderlichen Rechte hat, müssen dem im Setup angegeben Benutzer (nicht dem Dienstkonto!), siehe im Installationsverzeichnis unter “\Tom\WIN2_tomcfg.xml”, folgende Privilegien via GPMC oder GPEdit (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment) vergeben werden:

  • Add workstations to domain (SeMachineAccountPrivilege)
  • Debug programs (SeDebugPrivilege)
  • Enable computer and user accounts to be trusted for delegation (SeEnableDelegationPrivilege)
  • Log on as a batch job (SeBatchLogonRight)
  • Log on as a service (SeInteractiveLogonRight)
  • Manage auditing and security log (SeSecurityPrivilege)
  • Replace a process level token (SeAssignPrimaryTokenPrivilege)

Der Fehler LogonUserW war auf “Log on as a batch job”, der Fehler AdjustTokenPrivileges auf “Manage auditing and security log” zurückzuführen.