Si ricevono errori di accesso negato dopo l'accesso a un account di dominio amministratore locale

  • Articolo

Questo articolo consente di risolvere gli errori di accesso negato che si verificano dopo l'accesso a un account di dominio amministratore locale.

Si applica a: Windows Server 2019, Windows Server 2016
Numero KB originale: 2738746

Sintomi

Considerare lo scenario descritto di seguito:

  • Si crea un account amministratore locale in un computer che esegue Windows Server 2003 o versioni successive.
  • È possibile accedere usando l'account amministratore locale anziché l'account amministratore predefinito e quindi configurare il server come primo controller di dominio in un nuovo dominio o foresta. Come previsto, questo account locale diventa un account di dominio.
  • Per accedere, usare questo account di dominio.
  • Si tenta di eseguire varie operazioni di Active Directory Domain Services (Ad DS).

In questo scenario vengono visualizzati errori di accesso negato.

Causa

Quando si configura il primo controller di dominio in una foresta o in un nuovo dominio, l'account locale dell'utente viene convertito in un'entità di sicurezza di dominio e viene aggiunto ai gruppi predefiniti di dominio corrispondenti, ad esempio Utenti e Amministratori. Poiché non sono presenti gruppi predefiniti di amministratori dello schema locali, amministratori di dominio o amministratori dell'organizzazione, queste appartenenze non vengono aggiornate nei gruppi di dominio e non vengono aggiunte al gruppo Domain Admins.

Soluzione alternativa

Per risolvere questo comportamento, usare Dsa.msc, Dsac.exe o il modulo Windows PowerShell di Active Directory per aggiungere l'utente ai gruppi Domain Admins ed Enterprise Admins in base alle esigenze. Non è consigliabile aggiungere l'utente al gruppo Schema Admins a meno che non si stia eseguendo un aggiornamento o una modifica dello schema.

Dopo la disconnessione e quindi l'accesso, le modifiche all'appartenenza ai gruppi avranno effetto.

Ulteriori informazioni

Questo comportamento è previsto ed è in base alla progettazione.

Anche se questo comportamento è sempre stato presente in Servizi di dominio Active Directory, procedure di sicurezza migliorate nelle reti aziendali hanno esposto il comportamento ai clienti che seguono le procedure consigliate di Microsoft per l'uso dell'account amministratore predefinito.

L'account amministratore predefinito garantisce che almeno un utente disponga dell'appartenenza completa ai gruppi amministrativi in una nuova foresta.