次の方法で共有

エラー: 制御が委任された管理者以外のユーザーがコンピューターをドメインに参加しようとすると、アクセスが拒否される

この記事では、制御が委任された管理者以外のユーザーがコンピューターをドメインに参加しようとした場合のエラー メッセージの解決策を示します。

元の KB 番号: 932455

現象

ドメイン コントローラーでは、管理者以外のユーザーに次の 1 つ以上の症状が発生する可能性があります。

  • 特定のユーザーまたは特定のグループに、委任ウィザードを使用して組織単位 (OU) 上のドメインに対するコンピューター オブジェクトを追加または削除するアクセス許可が付与された後、ユーザーは一部のコンピューターをドメインに追加できません。 ユーザーがコンピューターをドメインに参加しようとすると、次のエラー メッセージが表示されることがあります。

    アクセスが拒否されました。

    Note

    管理者は、問題なくコンピューターをドメインに参加させることができます。

  • Account Operators グループのメンバーであるユーザー、または制御が委任されたユーザーは、ローカルでサインインするとき、またはリモート デスクトップ経由でドメイン コントローラーにサインインするときに、新しいユーザー アカウントを作成したり、パスワードをリセットしたりすることはできません。

    ユーザーがパスワードをリセットしようとすると、次のエラー メッセージが表示されることがあります。

    Windows では、アクセスが拒否されているため、 username のパスワード変更を完了できません。

    ユーザーが新しいユーザー アカウントを作成しようとすると、次のエラー メッセージが表示されます。

    特権が不十分なため、ユーザー名のパスワードを設定できません。Windows はこのアカウントを無効にしようとします。 この試行が失敗した場合、アカウントはセキュリティ リスクになります。 これを修復するには、できるだけ早く管理者に問い合わせてください。 このユーザーがログオンする前に、パスワードを設定し、アカウントを有効にする必要があります。

原因

これらの症状は、次の 1 つ以上の条件に該当する場合に発生する可能性があります。

  • ユーザーまたはグループに、コンピューター オブジェクトのパスワードのリセットアクセス許可が付与されていません。

    Note

    指定したユーザーまたは指定したグループにコンピューター オブジェクトのパスワードのリセットアクセス許可が設定されていない場合、ユーザーまたはグループはコンピューターをドメインに参加させることはできません。 ユーザーは、このアクセス許可なしでドメインの新しいコンピューター アカウントを作成できます。 ただし、コンピューター アカウントが既に Active Directory に存在する場合は、既存のコンピューター オブジェクトのコンピューター オブジェクトのプロパティをリセットするためにパスワードのリセットアクセス許可が必要であるため、"アクセスが拒否されました" というエラー メッセージが表示されます。

  • ユーザーは、Account Operators グループの委任された制御を受けているか、アカウントオペレーター グループのメンバーです。 これらのユーザーには、"Active Directory ユーザーとコンピューター" の組み込み OU に対する読み取りアクセス許可が付与されていません。

解決方法

ユーザーがコンピューターをドメインに参加できない問題を解決するには、次の手順に従います。

  1. Start を選択し、Run を選択し、「dsa.msc」と入力して、OK を選択します。
  2. 作業ウィンドウで、ドメイン ノードを展開します。
  3. 変更する OU を見つけて右クリックし、 Delegate Control を選択します。
  4. コントロールの委任ウィザードで、 次へを選択します。
  5. 選択特定のユーザーまたは特定のグループを選択したユーザーとグループの一覧に追加し次へを選択
  6. Tasks to Delegate ページで、委任するカスタム タスク作成を選択し、 次へを選択します。
  7. フォルダー内の次のオブジェクトを選択し、一覧からクリックして Computer オブジェクト チェック ボックスをオンにします。 次に、一覧の下にあるチェック ボックスをオンにし、 このフォルダー内の選択したオブジェクトを作成し このフォルダー内の選択したオブジェクトを削除 します
  8. [次へ] を選択します。
  9. Permissions一覧で、次のチェック ボックスをオンにします。
    • パスワードのリセット
    • アカウントの読み取りと書き込みの制限
    • DNS ホスト名への検証済み書き込み
    • 検証済みのサービス プリンシパル名への書き込み
  10. [次へ] を選択し、 [完了] を選択します。
  11. "Active Directory ユーザーとコンピューター" MMC スナップインを閉じます。

ユーザーがパスワードをリセットできない問題を解決するには、次の手順に従います。

  1. Start を選択し、Run を選択し、「dsa.msc」と入力して、OK を選択します。

  2. 作業ウィンドウで、ドメイン ノードを展開します。

  3. Builtin を見つけて右クリックし、Properties を選択します。

  4. [ Builtin のプロパティ ] ダイアログ ボックスで、[ Security ] タブを選択します。

  5. グループ名またはユーザー名一覧で、Account 演算子を選択します。

  6. アカウントオペレーターのアクセス許可で、Read アクセス許可の [Allow] チェック ボックスをオンにし、[OKを選択します。

    Note

    グループまたは Account Operators グループ以外のユーザーを使用する場合は、そのグループまたはそのユーザーに対して手順 5 と 6 を繰り返します。

  7. "Active Directory ユーザーとコンピューター" MMC スナップインを閉じます。