Cuando ejecuta Dcpromo.exe para crear un controlador de dominio de réplica, recibe el mensaje de error "No se puede modificar las propiedades necesarias de la cuenta de equipo. Acceso denegado"

Seleccione idioma Seleccione idioma
Id. de artículo: 232070 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Al ejecutar Dcpromo.exe para crear un controlador de dominio de réplica, puede recibir un mensaje de error similar al siguiente en Dcpromo.exe:
No se puede modificar las propiedades necesarias de la cuenta de equipo. Acceso denegado.
Un examen del archivo Dcpromoui.log indica que la parte inicial de la promoción se realizó correctamente (esto también se comprueba porque el equipo se convierte en servidor miembro en el dominio), pero que la promoción a controlador de dominio no se realizó correctamente porque Dcpromo.exe no pudo modificar la cuenta de equipo.

Causa

Este problema se puede producir si a la cuenta que se utiliza para la operación de promoción no se le ha asignado el derecho "Privilegio de delegación". O bien, si se ha asignado este derecho, la directiva no se ha propagado todavía, posiblemente debido a la latencia de replicación. De forma predeterminada, sólo los miembros del grupo Administradores tienen el derecho "Privilegio de delegación".

Solución

Para resolver este problema, utilice una cuenta del grupo Administradores o agregue la cuenta adecuada a este grupo. Para conceder este derecho a otro usuario o grupo, establezca el privilegio de delegación en el objeto de directiva de grupo:
  1. En el complemento Usuarios y equipos de Active Directory, modifique la Directiva predeterminada de controladores de dominio en la Unidad de organización de controladores de dominio.
  2. Haga doble clic en Configuración del equipo y en Configuración de Windows, y haga clic en Configuración de seguridad, Directivas locales y Asignación de derechos de usuario.
  3. En Habilitar confianza con el equipo y las cuentas de usuario para delegación, agregue la cuenta o grupo adecuados.
  4. Aplique la directiva utilizando uno de los métodos siguientes:
    • En un símbolo del sistema, escriba: secedit /refreshpolicy machine_policy /enforce.
    • En el complemento Sitios y servicios (Dssite.msc), utilice la característica Replicar ahora para forzar la replicación desde el controlador de dominio en el que se cambió la directiva en los demás controladores de dominio del dominio.
Para aplicar la directiva actualizada, reinicie el controlador de dominio.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a".

Más información

El archivo Dcpromoui.log notifica un error similar al que se muestra a continuación. En el ejemplo siguiente, se está intentando instalar un controlador de dominio de reserva o réplica:
dcpromoui t:0x490 00685    Exit  doProgressLoop 
dcpromoui t:0x490 00686    Exit  DS::CreateReplica 
dcpromoui t:0x490 00687    Exception caught 
dcpromoui t:0x490 00688    catch completed 
dcpromoui t:0x490 00689    handling exception 
dcpromoui t:0x490 00690    Active Directory Installation Failed 
dcpromoui t:0x490 00691    Enter GetErrorMessage 80070005 
dcpromoui t:0x490 00692    Exit  GetErrorMessage 80070005 
dcpromoui t:0x490 00693    Access is denied. 
Más abajo en el registro, aparece el texto siguiente
Failed to modify the necessary properties for the machine account MYDC$ (No se puede modificar las propiedades necesarias para la cuenta de equipo MYDC$)

"Access is denied (Acceso denegado). "; 
A continuación, se muestra el resultado de ejemplo de Dcpromoui.log de un equipo que ejecuta Windows 2000 Service Pack 4 (SP4):
09/12 09:33:14 [INFORMACIÓN] Error - El Asistente para instalación de Active Directory no puede 
convertir la cuenta de equipo <nombreDeEquipo>$ en una cuenta de controlador de dominio. (5) 
09/12 09:33:15 [INFO] NtdsInstall para <nombreDeDominio> devolvió 5 
09/12 09:33:15 [INFORMACIÓN] DsRolepInstallDs devolvió 5 
09/12 09:33:15 [ERROR] No se pudo instalar en el servicio de directorio (5)

Propiedades

Id. de artículo: 232070 - Última revisión: martes, 25 de marzo de 2008 - Versión: 5.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Palabras clave: 
kbenv kbprb KB232070

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com