本文提供了一个解决方案,当非管理员用户已委派控制尝试将计算机加入域时,会出现错误消息。
原始 KB 数: 932455
现象
在域控制器上,非管理员用户可能会遇到以下一个或多个症状:
通过委派向导向特定用户或特定组提供向组织单位(OU)上的域添加或删除计算机对象的权限后,用户无法将某些计算机添加到域。 当用户尝试将计算机加入域时,用户可能会收到以下错误消息:
拒绝访问。
注意
管理员可以将计算机加入域,而不会出现任何问题。
属于帐户操作员组成员或已委派控制的用户无法在本地登录或通过远程桌面登录到域控制器时重置密码或重置密码。
当用户尝试重置密码时,他们可能会收到以下错误消息:
Windows 无法完成用户名的密码更改,因为:访问被拒绝。
当用户尝试创建新的用户帐户时,他们会收到以下错误消息:
由于权限不足,无法设置用户名的密码,Windows 将尝试禁用此帐户。 如果此尝试失败,帐户将面临安全风险。 请尽快与管理员联系以修复此问题。 在用户可以登录之前,应设置密码,并且必须启用该帐户。
原因
如果以下一个或多个条件为 true,则可能会出现这些症状:
尚未向用户或组授予计算机对象的“重置密码”权限。
注意
如果用户或组没有为计算机对象设置重置密码权限,则用户或组无法将计算机加入域。 用户无需此权限即可为域创建新计算机帐户。 但是,如果 Active Directory 中存在计算机帐户,它们将收到“访问被拒绝”错误消息,因为重置密码权限是重置现有计算机对象的计算机对象属性所必需的。
用户已委托对帐户操作员组的控制,或者是帐户操作员组的成员。 这些用户尚未授予对“Active Directory 用户和计算机”中内置 OU 的“读取”权限。
解决方法
若要解决用户无法将计算机加入域的问题,请执行以下步骤:
- 依次选择“开始”、“运行”、“键入 dsa.msc”,然后选择“确定”。
- 在任务窗格中,展开域节点。
- 找到并右键单击要修改的 OU ,然后选择“ 委托控件”。
- 在“控制委派向导”中,选择“ 下一步”。
- 选择“添加”以将特定用户或特定组添加到“所选用户和组”列表,然后选择“下一步”。
- 在 “委托任务 ”页中,选择要 委派的自定义任务,然后选择“ 下一步”。
- 仅选择 文件夹中的以下对象,然后从列表中选择“ 计算机对象 ”复选框。 然后,选中列表下方的复选框, 在此文件夹中 创建所选对象,并 删除此文件夹中的选定对象。
- 选择下一步。
- 在 “权限 ”列表中,单击以选中以下复选框:
- 重置密码
- 读取和写入帐户限制
- 已验证写入 DNS 主机名
- 验证写入服务主体名称
- 选择“下一步”,然后选择“完成” 。
- 关闭“Active Directory 用户和计算机”MMC 管理单元。
若要解决用户无法重置密码的问题,请执行以下步骤:
依次选择“开始”、“运行”、“键入 dsa.msc”,然后选择“确定”。
在任务窗格中,展开域节点。
找到并右键单击 Builtin,然后选择“ 属性”。
在 “内置属性 ”对话框中,选择“ 安全 ”选项卡。
在 “组”或“用户名 ”列表中,选择“ 帐户操作员”。
在“帐户操作员的权限”下,单击以选中“读取权限允许”复选框,然后选择“确定”。
注意
如果要使用组或帐户操作员组以外的用户,请对该组或该用户重复步骤 5 和 6。
关闭“Active Directory 用户和计算机”MMC 管理单元。