错误:当已委派控制权的非管理员用户尝试将计算机加入域控制器时,访问被拒绝

本文提供了一个解决方案,当已委派控制权的非管理员用户尝试将计算机加入域控制器时出现错误消息。

适用于:  Windows Server 2012R2
原始 KB 编号:   932455

症状

在基于 Microsoft Windows Server 2003 或基于 Windows Server 2008 的域控制器上,非管理员用户可能会遇到以下一个或多个症状:

  • 通过委派向导向特定用户或特定组授予向组织单位 (OU) 上的域添加或删除计算机对象的权限后,用户无法将某些计算机添加到域。 当用户尝试将计算机加入域时,用户可能会收到以下错误消息:

    访问被拒绝。

    备注

    管理员可以将计算机加入域,而没有任何问题。

  • 作为 Account Operators 组的成员或已委派控制权的用户在本地登录或通过终端服务登录域控制器时,无法创建新的用户帐户或重置密码。

    当用户尝试重置密码时,可能会收到以下错误消息:

    Windows无法完成 用户名的密码更改,因为:访问被拒绝。

    当用户尝试创建新用户帐户时,他们会收到以下错误消息:

    由于权限不足,无法设置用户名Windows将尝试禁用此帐户。 如果此尝试失败,则帐户将成为安全风险。 请尽快联系管理员以修复此情况。 在此用户登录之前,应设置密码,并且必须启用帐户。

原因

如果满足以下一个或多个条件,可能会出现这些症状:

  • 用户或组尚未被授予计算机对象的重置密码权限。

    备注

    如果指定的用户或指定组没有为计算机对象设置"重置密码"权限,则用户或组无法将计算机加入域。 用户无需此权限即可为域创建新的计算机帐户。 但是,如果计算机帐户已存在于 Active Directory 中,他们将收到"访问被拒绝"错误消息,因为重置密码权限需要重置现有计算机对象的计算机对象属性。

  • 用户已被委派了对 Account Operators 组的控制权,或者是 Account Operators 组的成员。 这些用户尚未被授予"Active Directory 用户和计算机"中内置 OU 的读取权限。

解决方案

若要解决用户无法将计算机加入域的问题,请执行以下步骤:

  1. 选择 "开始",选择"运行",键入 dsa.msc, 然后选择"确定 "。
  2. 在任务窗格中,展开域节点。
  3. 找到并右键单击要修改的 OU, 然后选择"委派 控制"。
  4. 在"控制委派向导"中,选择"下一 步"。
  5. 选择 " 添加"将特定用户或特定组添加到"所选用户和 组"列表中,然后选择"下一步 "。
  6. 在"要委派的任务" 页中,选择"创建自定义任务以委派", 然后选择"下一 步"。
  7. Select Only the following objects in the folder, and then from the list, click to select the Computer objects check box. 然后,选中列表下方的复选框"在此文件夹中创建 选定 对象"和"删除此文件夹中的选定对象"。
  8. 选择“下一步”。
  9. 在" 权限"列表中 ,单击以选中以下复选框:
    • 重置密码
    • 读取和写入帐户限制
    • 验证了对 DNS 主机名的写入
    • 验证了对服务主体名称的写入
  10. 选择 "下一 步",然后选择"完成 "。
  11. 关闭"Active Directory 用户和计算机"MMC 管理单元。

若要解决用户无法重置密码的问题,请按照以下步骤操作:

  1. 选择 "开始",选择"运行",键入 dsa.msc, 然后选择"确定 "。

  2. 在任务窗格中,展开域节点。

  3. 找到并右键单击 "内置", 然后选择"属性 "。

  4. 在" 内置属性" 对话框中,选择" 安全" 选项卡。

  5. 在"组或用户名"列表中,选择"帐户运算符"。

  6. "帐户运算符的权限"下,单击以选中"读取"权限的"允许 "复选框, 然后选择"确定 "。

    备注

    如果要使用除 Account Operators 组外的其他组或用户,请对该组或该用户重复步骤 5 和 6。

  7. 关闭"Active Directory 用户和计算机"MMC 管理单元。