Condividi tramite

Errore: l'accesso viene negato quando gli utenti non amministratori che sono stati delegati tentano di aggiungere computer a un dominio

Questo articolo fornisce una soluzione a un messaggio di errore quando gli utenti non amministratori che sono stati delegati tentano di aggiungere computer a un dominio.

Numero KB originale: 932455

Sintomi

In un controller di dominio, gli utenti non amministratori possono riscontrare uno o più dei sintomi seguenti:

  • Dopo che un utente specifico o un gruppo specifico viene fornito con l'autorizzazione per aggiungere o rimuovere oggetti computer al dominio in un'unità organizzativa tramite la Delega guidata, gli utenti non possono aggiungere alcuni computer al dominio. Quando l'utente tenta di aggiungere un computer a un dominio, gli utenti potrebbero ricevere il messaggio di errore seguente:

    Accesso negato.

    Note

    Gli amministratori possono aggiungere computer al dominio senza problemi.

  • Gli utenti membri del gruppo Account Operators o che sono stati delegati non possono creare nuovi account utente o reimpostare le password quando accedono localmente o quando accedono tramite Desktop remoto al controller di dominio.

    Quando gli utenti tentano di reimpostare una password, potrebbero ricevere il messaggio di errore seguente:

    Impossibile completare la modifica della password per il nome utente perché l'accesso viene negato.

    Quando gli utenti tentano di creare un nuovo account utente, ricevono il messaggio di errore seguente:

    La password per il nome utente non può essere impostata a causa di privilegi insufficienti. Windows tenterà di disabilitare l'account. Se questo tentativo non riesce, l'account diventerà un rischio per la sicurezza. Contattare un amministratore il prima possibile per ripristinare il problema. Prima che l'utente possa accedere, è necessario impostare la password e abilitare l'account.

Causa

Questi sintomi possono verificarsi se una o più delle condizioni seguenti sono vere:

  • A un utente o a un gruppo non è stata concessa l'autorizzazione Reimposta password per gli oggetti computer.

    Note

    Un utente o un gruppo non può aggiungere un computer a un dominio se l'utente o il gruppo specificato non dispone dell'autorizzazione Reimposta password impostata per gli oggetti computer. Gli utenti possono creare nuovi account computer per il dominio senza questa autorizzazione. Tuttavia, se l'account computer è già presente in Active Directory, riceverà il messaggio di errore "Accesso negato" perché è necessaria l'autorizzazione Reimposta password per reimpostare le proprietà dell'oggetto computer per l'oggetto computer esistente.

  • Gli utenti sono stati delegati del gruppo Account Operators o sono membri del gruppo Account Operators. A questi utenti non è stata concessa l'autorizzazione lettura per l'unità organizzativa predefinita in "Utenti e computer di Active Directory".

Risoluzione

Per risolvere il problema in cui gli utenti non possono aggiungere un computer a un dominio, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare dsa.msc e quindi selezionare OK.
  2. Nel riquadro attività espandere il nodo di dominio.
  3. Individuare e fare clic con il pulsante destro del mouse sull'unità organizzativa da modificare e quindi scegliere Delega controllo.
  4. Nella Delega guidata controllo selezionare Avanti.
  5. Selezionare Aggiungi per aggiungere un utente specifico o un gruppo specifico all'elenco Utenti e gruppi selezionati e quindi selezionare Avanti.
  6. Nella pagina Attività da delegare selezionare Crea un'attività personalizzata da delegare e quindi selezionare Avanti.
  7. Selezionare Solo gli oggetti seguenti nella cartella e quindi nell'elenco fare clic per selezionare la casella di controllo Oggetti computer. Selezionare quindi le caselle di controllo sotto l'elenco, Crea oggetti selezionati in questa cartella ed Elimina oggetti selezionati in questa cartella.
  8. Seleziona Avanti.
  9. Nell'elenco Autorizzazioni fare clic per selezionare le caselle di controllo seguenti:
    • Reimpostare la password
    • Restrizioni dell'account di lettura e scrittura
    • Scrittura convalidata nel nome host DNS
    • Scrittura convalidata nel nome dell'entità servizio
  10. Selezionare Avanti e quindi Fine.
  11. Chiudere lo snap-in MMC "Utenti e computer di Active Directory".

Per risolvere il problema in cui gli utenti non possono reimpostare le password, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare dsa.msc e quindi selezionare OK.

  2. Nel riquadro attività espandere il nodo di dominio.

  3. Individuare e fare clic con il pulsante destro del mouse su Builtin e quindi scegliere Proprietà.

  4. Nella finestra di dialogo Proprietà predefinite selezionare la scheda Sicurezza.

  5. Nell'elenco Gruppi o nomi utente selezionare Operatori account.

  6. In Autorizzazioni per gli operatori account fare clic per selezionare la casella di controllo Consenti per l'autorizzazione Lettura e quindi selezionare OK.

    Note

    Se si vuole usare un gruppo o un utente diverso dal gruppo Account Operators, ripetere i passaggi 5 e 6 per tale gruppo o tale utente.

  7. Chiudere lo snap-in MMC "Utenti e computer di Active Directory".