Fehler: Der Zugriff wird verweigert, wenn Benutzer ohne Administratorrechte, die die Steuerung delegiert haben, versuchen, Computer mit einem Domänencontroller zu verknüpfen.

Dieser Artikel bietet eine Lösung für eine Fehlermeldung, wenn Benutzer, die keine Administratoren sind, die die Steuerung delegiert haben, versuchen, Computer mit einem Domänencontroller zu verknüpfen.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 932455

Problembeschreibung

Auf einem Microsoft Windows Server 2003-basierten oder einem Windows Server 2008-basierten Domänencontroller können Nicht-Administratorbenutzer eines oder mehrere der folgenden Symptome feststellen:

  • Nachdem einem bestimmten Benutzer oder einer bestimmten Gruppe die Berechtigung zum Hinzufügen oder Entfernen von Computerobjekten zur Domäne in einer Organisationseinheit (OU) über den Delegierungs-Assistenten erteilt wurde, können Benutzer der Domäne keine Computer hinzufügen. Wenn der Benutzer versucht, einen Computer mit einer Domäne zu verknüpfen, erhalten Benutzer möglicherweise die folgende Fehlermeldung:

    Der Zugriff wurde verweigert.

    Hinweis

    Administratoren können Computer ohne Probleme mit der Domäne verknüpfen.

  • Benutzer, die Mitglieder der Gruppe "Kontooperatoren" sind oder deren Steuerelement delegiert wurde, können keine neuen Benutzerkonten erstellen oder Kennwörter zurücksetzen, wenn sie sich lokal anmelden oder sich über Terminaldienste beim Domänencontroller anmelden.

    Wenn Benutzer versuchen, ein Kennwort zurückzusetzen, wird möglicherweise die folgende Fehlermeldung angezeigt:

    Windows kann die Kennwortänderung für den Benutzernamen nicht abschließen, weil: Der Zugriff wurde verweigert.

    Wenn Benutzer versuchen, ein neues Benutzerkonto zu erstellen, wird die folgende Fehlermeldung angezeigt:

    Das Kennwort für den Benutzernamen kann aufgrund unzureichender Berechtigungen nicht festgelegt werden. Windows versucht, dieses Konto zu deaktivieren. Wenn dieser Versuch fehlschlägt, wird das Konto zu einem Sicherheitsrisiko. Wenden Sie sich so schnell wie möglich an einen Administrator, um dies zu reparieren. Bevor sich dieser Benutzer anmelden kann, sollte das Kennwort festgelegt werden, und das Konto muss aktiviert sein.

Ursache

Diese Symptome können auftreten, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Einem Benutzer oder einer Gruppe wurde die Berechtigung zum Zurücksetzen von Kennwörtern für die Computerobjekte nicht erteilt.

    Hinweis

    Ein Benutzer oder eine Gruppe kann einen Computer nicht mit einer Domäne verknüpfen, wenn für den angegebenen Benutzer oder die angegebene Gruppe nicht die Berechtigung "Kennwort zurücksetzen" für die Computerobjekte festgelegt ist. Benutzer können ohne diese Berechtigung neue Computerkonten für die Domäne erstellen. Wenn das Computerkonto jedoch bereits in Active Directory vorhanden ist, wird die Fehlermeldung "Zugriff verweigert" angezeigt, da die Berechtigung zum Zurücksetzen des Kennworts erforderlich ist, um die Computerobjekteigenschaften für das vorhandene Computerobjekt zurückzusetzen.

  • Benutzer haben die Kontrolle über die Gruppe "Kontooperatoren" delegiert oder sind Mitglieder der Gruppe "Kontooperatoren". Diesen Benutzern wurde die Leseberechtigung für die integrierte OU in "Active Directory-Benutzer und -Computer" nicht erteilt.

Lösung

Führen Sie die folgenden Schritte aus, um das Problem zu beheben, bei dem Benutzer keinen Computer mit einer Domäne verknüpfen können:

  1. Wählen Sie "Start" aus, wählen Sie "Ausführen" aus, geben Sie "dsa.msc" ein, und wählen Sie dann "OK" aus.
  2. Erweitern Sie im Aufgabenbereich den Domänenknoten.
  3. Suchen Sie die OU , die Sie ändern möchten, und klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann " Stellvertretungssteuerelement" aus.
  4. Wählen Sie im Assistenten für die Delegierung von Steuerelementen die Option "Weiter" aus.
  5. Wählen Sie "Hinzufügen" aus, um einen bestimmten Benutzer oder eine bestimmte Gruppe zur Liste der ausgewählten Benutzer und Gruppen hinzuzufügen, und wählen Sie dann "Weiter" aus.
  6. Wählen Sie auf der Seite "Aufgaben zur Stellvertretung " die Option "Zu delegierende benutzerdefinierte Aufgabe erstellen" und dann " Weiter" aus.
  7. Wählen Sie nur die folgenden Objekte im Ordner aus, und klicken Sie dann in der Liste, um das Kontrollkästchen Computerobjekte zu aktivieren. Aktivieren Sie dann die Kontrollkästchen unter der Liste, erstellen Sie ausgewählte Objekte in diesem Ordner , und löschen Sie die ausgewählten Objekte in diesem Ordner.
  8. Wählen Sie Weiter aus.
  9. Aktivieren Sie in der Liste "Berechtigungen " die folgenden Kontrollkästchen:
    • Kennwort zurücksetzen
    • Lese- und Schreibzugriff auf Kontoeinschränkungen
    • Überprüfter Schreibzugriff auf DEN DNS-Hostnamen
    • Überprüfter Schreibvorgang in den Dienstprinzipalnamen
  10. Wählen Sie "Weiter" und dann " Fertig stellen" aus.
  11. Schließen Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer".

Führen Sie die folgenden Schritte aus, um das Problem zu beheben, bei dem Benutzer Kennwörter nicht zurücksetzen können:

  1. Wählen Sie "Start" aus, wählen Sie "Ausführen" aus, geben Sie "dsa.msc" ein, und wählen Sie dann "OK" aus.

  2. Erweitern Sie im Aufgabenbereich den Domänenknoten.

  3. Suchen Und klicken Sie mit der rechten Maustaste auf "Integriert", und wählen Sie dann "Eigenschaften" aus.

  4. Wählen Sie im Dialogfeld "Integrierte Eigenschaften " die Registerkarte " Sicherheit " aus.

  5. Wählen Sie in der Liste "Gruppen- oder Benutzernamen" die Option "Kontooperatoren" aus.

  6. Klicken Sie unter "Berechtigungen für Kontooperatoren" auf das Kontrollkästchen "Zulassen " für die Berechtigung " Lesen ", und wählen Sie dann "OK" aus.

    Hinweis

    Wenn Sie eine Gruppe oder einen anderen Benutzer als die Gruppe "Kontooperatoren" verwenden möchten, wiederholen Sie die Schritte 5 und 6 für diese Gruppe oder diesen Benutzer.

  7. Schließen Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer".