Błąd: Odmowa dostępu, gdy użytkownicy niebędący administratorami, którzy zostali delegowani, próbują dołączyć komputery do kontrolera domeny

  • Artykuł

Ten artykuł zawiera rozwiązanie komunikatu o błędzie, gdy użytkownicy niebędący administratorami, którzy zostali delegowani, próbują dołączyć komputery do kontrolera domeny.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 932455

Symptomy

Na kontrolerze domeny użytkownicy niebędący administratorami mogą wystąpić co najmniej jeden z następujących objawów:

  • Po podaniu określonego użytkownika lub określonej grupy z uprawnieniami do dodawania lub usuwania obiektów komputera do domeny w jednostce organizacyjnej (OU) za pośrednictwem Kreatora delegowania użytkownicy nie mogą dodawać niektórych komputerów do domeny. Gdy użytkownik spróbuje dołączyć komputer do domeny, użytkownicy mogą otrzymać następujący komunikat o błędzie:

    Odmowa dostępu.

    Uwaga

    Administratorzy mogą dołączać komputery do domeny bez żadnych problemów.

  • Użytkownicy będący członkami grupy Operatorzy kont lub mający delegowane sterowanie nie mogą tworzyć nowych kont użytkowników ani resetować haseł podczas logowania się lokalnie lub podczas logowania się za pośrednictwem pulpitu zdalnego do kontrolera domeny.

    Podczas próby zresetowania hasła użytkownicy mogą otrzymać następujący komunikat o błędzie:

    System Windows nie może ukończyć zmiany hasła dla nazwy użytkownika , ponieważ: odmowa dostępu.

    Podczas próby utworzenia nowego konta użytkownika użytkownicy otrzymują następujący komunikat o błędzie:

    Nie można ustawić hasła dla nazwy użytkownika z powodu niewystarczających uprawnień. System Windows podejmie próbę wyłączenia tego konta. Jeśli ta próba zakończy się niepowodzeniem, konto stanie się zagrożeniem bezpieczeństwa. Skontaktuj się z administratorem tak szybko, jak to możliwe, aby to naprawić. Aby ten użytkownik mógł się zalogować, należy ustawić hasło i włączyć konto.

Przyczyna

Te objawy mogą wystąpić, jeśli spełniony jest co najmniej jeden z następujących warunków:

  • Użytkownikowi lub grupie nie udzielono uprawnienia Resetuj hasła dla obiektów komputera.

    Uwaga

    Użytkownik lub grupa nie może dołączyć komputera do domeny, jeśli określony użytkownik lub określona grupa nie ma ustawionego uprawnienia Resetuj hasło dla obiektów komputera. Użytkownicy mogą tworzyć nowe konta komputerów dla domeny bez tego uprawnienia. Jeśli jednak konto komputera jest już obecne w usłudze Active Directory, zostanie wyświetlony komunikat o błędzie "Odmowa dostępu", ponieważ uprawnienie Resetuj hasło jest wymagane do zresetowania właściwości obiektu komputera dla istniejącego obiektu komputera.

  • Użytkownicy zostali delegowani w grupie Operatorzy kont lub są członkami grupy Operatory kont. Tym użytkownikom nie udzielono uprawnienia odczytu dla wbudowanej jednostki organizacyjnej w "Użytkownicy i komputery usługi Active Directory".

Rozwiązanie

Aby rozwiązać problem polegający na tym, że użytkownicy nie mogą dołączyć komputera do domeny, wykonaj następujące kroki:

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz dsa.msc, a następnie wybierz przycisk OK.
  2. W okienku zadań rozwiń węzeł domeny.
  3. Znajdź i kliknij prawym przyciskiem myszy jednostkę organizacyjną , którą chcesz zmodyfikować, a następnie wybierz pozycję Deleguj kontrolkę.
  4. W Kreatorze delegowania kontrolek wybierz pozycję Dalej.
  5. Wybierz pozycję Dodaj , aby dodać określonego użytkownika lub określoną grupę do listy Wybrani użytkownicy i grupy , a następnie wybierz pozycję Dalej.
  6. Na stronie Zadania do delegowania wybierz pozycję Utwórz zadanie niestandardowe do delegowania, a następnie wybierz pozycję Dalej.
  7. Wybierz pozycję Tylko następujące obiekty w folderze, a następnie z listy kliknij, aby zaznaczyć pole wyboru Obiekty komputera . Następnie zaznacz pola wyboru poniżej listy : Utwórz zaznaczone obiekty w tym folderze i Usuń zaznaczone obiekty w tym folderze.
  8. Wybierz pozycję Dalej.
  9. Na liście Uprawnienia kliknij, aby zaznaczyć następujące pola wyboru:
    • Resetowanie hasła
    • Ograniczenia dotyczące odczytu i zapisu konta
    • Zweryfikowano zapis w nazwie hosta DNS
    • Zweryfikowana nazwa główna zapisu w usłudze
  10. Wybierz pozycję Dalej, a następnie wybierz pozycję Zakończ.
  11. Zamknij przystawkę MMC "Użytkownicy i komputery usługi Active Directory".

Aby rozwiązać problem polegający na tym, że użytkownicy nie mogą resetować haseł, wykonaj następujące kroki:

  1. Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz dsa.msc, a następnie wybierz przycisk OK.

  2. W okienku zadań rozwiń węzeł domeny.

  3. Znajdź i kliknij prawym przyciskiem myszy pozycję Wbudowane, a następnie wybierz pozycję Właściwości.

  4. W oknie dialogowym Właściwości wbudowane wybierz kartę Zabezpieczenia .

  5. Na liście Grupy lub nazwy użytkowników wybierz pozycję Operatory kont.

  6. W obszarze Uprawnienia dla operatorów kont kliknij, aby zaznaczyć pole wyboru Zezwalaj dla uprawnienia Do odczytu , a następnie wybierz przycisk OK.

    Uwaga

    Jeśli chcesz użyć grupy lub użytkownika innego niż grupa Operatorzy kont, powtórz kroki 5 i 6 dla tej grupy lub tego użytkownika.

  7. Zamknij przystawkę MMC "Użytkownicy i komputery usługi Active Directory".