CyberArk PasswordVault “Error: (winRc=5) Access Denied”

Indien je via de CyberArk PasswordVault een lokaal administrator wachtwoord probeert te wijzigen op een Windows Server 2016 of 2019 server kan het voorkomen dat je onderstaande foutmelding krijgt.

"Error: (winRc=5) Access Denied"

Indien je tegen deze foutmelding aanloopt dienen er vier instellingen gecontroleerd te worden.

Controleer of gebruiker eigen wachtwoord kan wijzigen

De gebruiker waarvan het wachtwoord moet worden gewijzigd moet zelf de rechten hebben om dit te kunnen doen. De instelling “User cannot change password” moet uit staan.

Controleer de firewall configuratie

Tussen de Central Policy Manager (CPM) en het systeem moeten poort 135 en poort 445 open staan. Zorg dat deze zowel op tussenliggende firewalls als op de Windows Firewall op het lokale systeem open staan.

Controleer de Group Policy Settings

De actie die de CyberArk Passwordvault uitvoert vereist het dat de instelling “Disable the User Access Control (UAC) Run all administrators in Admin Mode” op disabled staat. Indien de machine in het domein zit kan dit centraal in een Group policy geplaatst worden. Indien dit niet mogelijk is dient dient in de lokale Group Policy Manger aangepast te worden.

"Local Security Policy > Local Policies > Security Options > Disable the User Access Control (UAC) Run all administrators in Admin Mode"

Controleer of de IPC$ share benaderbaar is

Controleer of je vanaf de CPM server de IPC$ share van de server kunt benaderen met de huidige werkende gegevens van het account wat je gemanaged wilt hebben. Indien dit niet het geval is, en je een foutmelding over rechten krijgt, dien je de instelling “LocalAccountTokenFilterPolicy” toe te voegen in het register van de server waarop je het wachtwoord wilt wijzen. De server heeft na deze aanpassing een herstart nodig.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Waarde: LocalAccountTokenFilterPolicy

Data: 1 (om uit te schakelen, 0 schakelt filtering in)