错误:当已委派控制的非管理员用户尝试将计算机加入域控制器时,访问被拒绝

  • 项目

本文提供了当已委派控制的非管理员用户尝试将计算机加入域控制器时出现错误消息的解决方案。

适用于: Windows Server 2012 R2
原始 KB 编号: 932455

症状

在域控制器上,非管理员用户可能会遇到以下一个或多个症状:

  • 通过委派向导向特定用户或特定组提供向组织单位 (OU) 的域添加或删除计算机对象的权限后,用户无法将某些计算机添加到域。 当用户尝试将计算机加入域时,用户可能会收到以下错误消息:

    访问被拒绝。

    注意

    管理员可以将计算机加入域,而不会出现任何问题。

  • 属于“帐户操作员”组成员或已委派控制权的用户在本地登录或通过远程桌面登录到域控制器时,无法创建新用户帐户或重置密码。

    当用户尝试重置密码时,他们可能会收到以下错误消息:

    Windows 无法完成 用户名 的密码更改,因为:访问被拒绝。

    当用户尝试创建新的用户帐户时,他们会收到以下错误消息:

    由于权限不足,无法设置用户名的密码,Windows 将尝试禁用此帐户。 如果此尝试失败,帐户将面临安全风险。 请尽快与管理员联系以修复此问题。 在此用户可以登录之前,应设置密码,并且必须启用帐户。

原因

如果满足以下一个或多个条件,则可能会出现这些症状:

  • 尚未向用户或组授予计算机对象的“重置密码”权限。

    注意

    如果指定的用户或指定组没有为计算机对象设置“重置密码”权限,则用户或组无法将计算机加入域。 用户无需此权限即可为域创建新的计算机帐户。 但是,如果计算机帐户已在 Active Directory 中存在,则它们将收到“拒绝访问”错误消息,因为重置现有计算机对象的计算机对象属性需要“重置密码”权限。

  • 用户已被委托对“帐户操作员”组的控制权,或者是“帐户操作员”组的成员。 这些用户尚未获得对“Active Directory 用户和计算机”中内置 OU 的“读取”权限。

解决方案

若要解决用户无法将计算机加入域的问题,请执行以下步骤:

  1. 依次选择“ 开始”、“ 运行”、“ dsa.msc”和“ 确定”。
  2. 在任务窗格中,展开域节点。
  3. 找到并右键单击要修改的 OU ,然后选择“ 委托控件”。
  4. 在“委派控件向导”中,选择“ 下一步”。
  5. 选择“ 添加 ”,将特定用户或特定组添加到 “所选用户和组” 列表,然后选择“ 下一步”。
  6. “要委派的任务 ”页中,选择“ 创建要委派的自定义任务”,然后选择“ 下一步”。
  7. 选择“仅文件夹中的以下对象”,然后从列表中单击以选中“计算机对象检查框。 然后,选择列表下面的检查框,“在此文件夹中创建所选对象”和“删除此文件夹中的选定对象”。
  8. 选择“下一步”。
  9. “权限”列表中,单击以选择以下检查框:
    • 重置密码
    • 读取和写入帐户限制
    • 已验证写入 DNS 主机名
    • 已验证对服务主体名称的写入
  10. 选择“ 下一步”,然后选择“ 完成”。
  11. 关闭“Active Directory 用户和计算机”MMC 管理单元。

若要解决用户无法重置密码的问题,请执行以下步骤:

  1. 依次选择“ 开始”、“ 运行”、“ dsa.msc”和“ 确定”。

  2. 在任务窗格中,展开域节点。

  3. 找到并右键单击“ 内置”,然后选择“ 属性”。

  4. 在“ 内置属性 ”对话框中,选择“ 安全性 ”选项卡。

  5. “组或用户名” 列表中,选择“ 帐户操作员”。

  6. “帐户操作员的权限”下,单击以选中“读取”权限的“允许检查”框,然后选择“确定”。

    注意

    如果要使用组或帐户操作员组以外的用户,请对该组或该用户重复步骤 5 和 6。

  7. 关闭“Active Directory 用户和计算机”MMC 管理单元。