Partager via

Erreur : l’accès est refusé lorsque les utilisateurs non administrateurs qui ont été délégués tentent de joindre des ordinateurs à un domaine

Cet article fournit une solution à un message d’erreur lorsque les utilisateurs non administrateurs qui ont été délégués tentent de joindre des ordinateurs à un domaine.

Numéro de base de connaissances d’origine : 932455

Symptômes

Sur un contrôleur de domaine, les utilisateurs non administrateurs peuvent rencontrer un ou plusieurs des symptômes suivants :

  • Une fois qu’un utilisateur ou un groupe spécifique est fourni avec l’autorisation d’ajouter ou de supprimer des objets ordinateurs dans le domaine sur une unité d’organisation via l’Assistant Délégation, les utilisateurs ne peuvent pas ajouter certains ordinateurs au domaine. Lorsque l’utilisateur tente de joindre un ordinateur à un domaine, les utilisateurs peuvent recevoir le message d’erreur suivant :

    L’accès est refusé.

    Note

    Les administrateurs peuvent joindre des ordinateurs au domaine sans aucun problème.

  • Les utilisateurs membres du groupe Opérateurs de compte ou qui ont été délégués ne peuvent pas créer de comptes d’utilisateur ni réinitialiser les mots de passe lorsqu’ils se connectent localement ou lorsqu’ils se connectent via le Bureau à distance au contrôleur de domaine.

    Lorsque les utilisateurs essaient de réinitialiser un mot de passe, ils peuvent recevoir le message d’erreur suivant :

    Windows ne peut pas terminer la modification du mot de passe pour le nom d’utilisateur , car l’accès est refusé.

    Lorsque les utilisateurs essaient de créer un compte d’utilisateur, ils reçoivent le message d’erreur suivant :

    Le mot de passe du nom d’utilisateur ne peut pas être défini en raison de privilèges insuffisants, Windows tente de désactiver ce compte. Si cette tentative échoue, le compte devient un risque de sécurité. Contactez un administrateur dès que possible pour résoudre ce problème. Avant que cet utilisateur puisse se connecter, le mot de passe doit être défini et le compte doit être activé.

Cause

Ces symptômes peuvent se produire si une ou plusieurs des conditions suivantes sont remplies :

  • Un utilisateur ou un groupe n’a pas reçu l’autorisation Réinitialiser les mots de passe pour les objets ordinateur.

    Note

    Un utilisateur ou un groupe ne peut pas joindre un ordinateur à un domaine si l’utilisateur spécifié ou le groupe spécifié n’a pas le jeu d’autorisations Réinitialiser le mot de passe pour les objets ordinateur. Les utilisateurs peuvent créer des comptes d’ordinateur pour le domaine sans cette autorisation. Toutefois, si le compte d’ordinateur est déjà présent dans Active Directory, il reçoit le message d’erreur « Accès refusé », car l’autorisation Réinitialiser le mot de passe est requise pour réinitialiser les propriétés de l’objet ordinateur pour l’objet ordinateur existant.

  • Les utilisateurs ont été délégués au groupe Opérateurs de compte ou sont membres du groupe Opérateurs de compte. Ces utilisateurs n’ont pas reçu le l’autorisation Lecture sur l’unité d’organisation intégrée « Utilisateurs et ordinateurs Active Directory ».

Résolution

Pour résoudre le problème dans lequel les utilisateurs ne peuvent pas joindre un ordinateur à un domaine, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionner Exécuter, taper dsa.msc, puis OK.
  2. Dans le volet Office, développez le nœud de domaine.
  3. Recherchez et cliquez avec le bouton droit sur l’unité d’organisation que vous souhaitez modifier, puis sélectionnez Contrôle délégué.
  4. Dans l’Assistant Délégation de contrôle, sélectionnez Suivant.
  5. Sélectionnez Ajouter pour ajouter un utilisateur spécifique ou un groupe spécifique à la liste utilisateurs et groupes sélectionnés , puis sélectionnez Suivant.
  6. Dans la page Tâches à déléguer , sélectionnez Créer une tâche personnalisée à déléguer, puis sélectionnez Suivant.
  7. Sélectionnez Uniquement les objets suivants dans le dossier, puis, dans la liste, cliquez pour activer la case à cocher Objets ordinateur. Ensuite, cochez les cases situées sous la liste, créez des objets sélectionnés dans ce dossier et supprimez les objets sélectionnés dans ce dossier.
  8. Cliquez sur Suivant.
  9. Dans la liste Autorisations , cliquez pour cocher les cases à cocher suivantes :
    • Réinitialiser le mot de passe
    • Restrictions de compte en lecture-écriture
    • Écriture validée dans le nom d’hôte DNS
    • Écriture validée dans le nom du principal de service
  10. Sélectionnez Suivant, puis Terminer.
  11. Fermez le composant logiciel enfichable MMC « Utilisateurs et ordinateurs Active Directory ».

Pour résoudre le problème dans lequel les utilisateurs ne peuvent pas réinitialiser les mots de passe, procédez comme suit :

  1. Sélectionnez Démarrer, sélectionner Exécuter, taper dsa.msc, puis OK.

  2. Dans le volet Office, développez le nœud de domaine.

  3. Recherchez et cliquez avec le bouton droit sur Builtin, puis sélectionnez Propriétés.

  4. Dans la boîte de dialogue Propriétés intégrées, sélectionnez l’onglet Sécurité .

  5. Dans la liste des noms d’utilisateurs ou de groupes, sélectionnez Opérateurs de compte.

  6. Sous Autorisations pour les opérateurs de compte, cliquez pour activer la case à cocher Autoriser pour l’autorisation lecture , puis sélectionnez OK.

    Note

    Si vous souhaitez utiliser un groupe ou un utilisateur autre que le groupe Opérateurs de compte, répétez les étapes 5 et 6 pour ce groupe ou cet utilisateur.

  7. Fermez le composant logiciel enfichable MMC « Utilisateurs et ordinateurs Active Directory ».

  • Last updated on