Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo consente di risolvere gli errori di accesso negato che si verificano dopo l'accesso a un account di dominio amministratore locale.
Si applica a: Windows Server 2019, Windows Server 2016
Numero KB originale: 2738746
Sintomi
Prendi in considerazione lo scenario seguente:
- Si crea un account amministratore locale in un computer che esegue Windows Server 2003 o versione successiva.
- Accedere usando l'account amministratore locale anziché l'account amministratore predefinito e quindi configurare il server come primo controller di dominio in un nuovo dominio o foresta. Come previsto, questo account locale diventa un account di dominio.
- Usare questo account di dominio per accedere.
- Si tenta di eseguire varie operazioni Dominio di Active Directory Services (AD DS).
In questo scenario si ricevono errori di accesso negato.
Causa
Quando si configura il primo controller di dominio in una foresta o in un nuovo dominio, l'account locale dell'utente viene convertito in un'entità di sicurezza di dominio e viene aggiunto ai gruppi predefiniti del dominio corrispondenti, ad esempio Utenti e Amministratori. Poiché non sono presenti gruppi predefiniti di Amministratori schema, Domain Admins o Enterprise Admins, queste appartenenze non vengono aggiornate nei gruppi di dominio e non vengono aggiunte al gruppo Domain Admins.
Soluzione alternativa
Per ovviare a questo comportamento, usare Dsa.msc, Dsac.exe o il modulo di Windows PowerShell di Active Directory per aggiungere l'utente ai gruppi Domain Admins ed Enterprise Admins in base alle esigenze. Non è consigliabile aggiungere l'utente al gruppo Schema Admins a meno che non si stia eseguendo un aggiornamento o una modifica dello schema.
Dopo la disconnessione e quindi l'accesso, le modifiche all'appartenenza al gruppo avranno effetto.
Ulteriori informazioni
Questo comportamento è previsto ed è previsto per progettazione.
Anche se questo comportamento è sempre stato presente in Servizi di dominio Active Directory, le procedure di sicurezza migliorate nelle reti aziendali hanno esposto il comportamento ai clienti che seguono le procedure consigliate Microsoft per l'uso dell'account amministratore predefinito.
L'account amministratore predefinito assicura che almeno un utente disponga dell'appartenenza completa al gruppo amministrativo in una nuova foresta.