Compartir a través de

Error: Se deniega el acceso cuando los usuarios que no son administradores que han sido delegados intentan unir equipos a un dominio

En este artículo se proporciona una solución a un mensaje de error cuando los usuarios que no son administradores que han sido delegados intentan unir equipos a un dominio.

Número de KB original: 932455

Síntomas

En un controlador de dominio, los usuarios que no son administradores pueden experimentar uno o varios de los síntomas siguientes:

  • Una vez que se proporciona un usuario específico o un grupo específico con el permiso para agregar o quitar objetos de equipo en el dominio de una unidad organizativa (OU) a través del Asistente para delegación, los usuarios no pueden agregar algunos de los equipos al dominio. Cuando el usuario intenta unir un equipo a un dominio, los usuarios pueden recibir el siguiente mensaje de error:

    Se denegó el acceso.

    Nota:

    Los administradores pueden unir equipos al dominio sin problemas.

  • Los usuarios que son miembros del grupo Operadores de cuenta o que han sido controles delegados no pueden crear nuevas cuentas de usuario ni restablecer contraseñas cuando inicien sesión localmente o cuando inicien sesión a través de Escritorio remoto al controlador de dominio.

    Cuando los usuarios intentan restablecer una contraseña, pueden recibir el siguiente mensaje de error:

    Windows no puede completar el cambio de contraseña para el nombre de usuario porque: se deniega el acceso.

    Cuando los usuarios intentan crear una nueva cuenta de usuario, reciben el siguiente mensaje de error:

    No se puede establecer la contraseña del nombre de usuario debido a privilegios insuficientes, Windows intentará deshabilitar esta cuenta. Si se produce un error en este intento, la cuenta se convertirá en un riesgo de seguridad. Póngase en contacto con un administrador lo antes posible para repararlo. Para que este usuario pueda iniciar sesión, se debe establecer la contraseña y la cuenta debe estar habilitada.

Causa

Estos síntomas pueden producirse si se cumplen una o varias de las condiciones siguientes:

  • No se ha concedido a un usuario o grupo el permiso Restablecer contraseñas para los objetos de equipo.

    Nota:

    Un usuario o un grupo no pueden unir un equipo a un dominio si el usuario especificado o el grupo especificado no tiene establecido el permiso Restablecer contraseña para los objetos de equipo. Los usuarios pueden crear nuevas cuentas de equipo para el dominio sin este permiso. Pero si la cuenta de equipo ya está presente en Active Directory, recibirá el mensaje de error "Acceso denegado" porque se requiere el permiso Restablecer contraseña para restablecer las propiedades del objeto de equipo para el objeto de equipo existente.

  • Los usuarios han sido delegados de control del grupo Operadores de cuenta o son miembros del grupo Operadores de cuenta. A estos usuarios no se les ha concedido el permiso De lectura en la unidad organizativa integrada en "Usuarios y equipos de Active Directory".

Solución

Para resolver el problema en el que los usuarios no pueden unir un equipo a un dominio, siga estos pasos:

  1. Seleccione Iniciar, seleccione Ejecutar, escriba dsa.msc y, a continuación, seleccione Aceptar.
  2. En el panel de tareas, expanda el nodo de dominio.
  3. Busque y haga clic con el botón derecho en la unidad organizativa que desea modificar y, a continuación, seleccione Delegar control.
  4. En el Asistente para delegación de controles, seleccione Siguiente.
  5. Seleccione Agregar para agregar un usuario específico o un grupo específico a la lista Usuarios y grupos seleccionados y, a continuación, seleccione Siguiente.
  6. En la página Tareas a delegar , seleccione Crear una tarea personalizada para delegar y, a continuación, seleccione Siguiente.
  7. Seleccione Solo los siguientes objetos de la carpeta y, a continuación, en la lista, haga clic para seleccionar la casilla Objetos de equipo. A continuación, active las casillas situadas debajo de la lista, Crear objetos seleccionados en esta carpeta y Eliminar objetos seleccionados en esta carpeta.
  8. Seleccione Siguiente.
  9. En la lista Permisos , haga clic para activar las siguientes casillas:
    • Restablecer contraseña
    • Restricciones de lectura y escritura de cuentas
    • Escritura validada en el nombre de host DNS
    • Escritura validada en el nombre de la entidad de seguridad de servicio
  10. Haga clic en Siguiente y después en Finalizar.
  11. Cierre el complemento MMC "Usuarios y equipos de Active Directory".

Para resolver el problema en el que los usuarios no pueden restablecer contraseñas, siga estos pasos:

  1. Seleccione Iniciar, seleccione Ejecutar, escriba dsa.msc y, a continuación, seleccione Aceptar.

  2. En el panel de tareas, expanda el nodo de dominio.

  3. Busque y haga clic con el botón derecho en Builtin y seleccione Propiedades.

  4. En el cuadro de diálogo Propiedades integradas, seleccione la pestaña Seguridad .

  5. En la lista Nombres de grupo o usuario , seleccione Operadores de cuenta.

  6. En Permisos para operadores de cuenta, haga clic para activar la casilla Permitir para el permiso De lectura y, a continuación, seleccione Aceptar.

    Nota:

    Si desea usar un grupo o un usuario que no sea el grupo Operadores de cuenta, repita los pasos 5 y 6 para ese grupo o ese usuario.

  7. Cierre el complemento MMC "Usuarios y equipos de Active Directory".