ローカル管理者ドメイン アカウントにログオンした後にアクセス拒否エラーが発生する

この記事は、ローカル管理者ドメイン アカウントにログオンした後に発生するアクセス拒否エラーを解決するのに役立ちます。

適用対象:Windows Server 2019、Windows Server 2016
元の KB 番号: 2738746

現象

次のような状況で問題が発生します。

• Windows Server 2003 以降のオペレーティング システムを実行しているコンピューターにローカル管理者アカウントを作成します。
• 組み込みの管理者アカウントではなくローカル管理者アカウントを使用してログオンし、新しいドメインまたはフォレスト内の最初のドメイン コントローラーとしてサーバーを構成します。 予想どおり、このローカル アカウントはドメイン アカウントになります。
• このドメイン アカウントを使用してログオンします。
• さまざまなActive Directory Domain Services (AD DS) 操作を実行しようとするとします。

このシナリオでは、アクセス拒否エラーを受け取ります。

原因

フォレストまたは新しいドメインで最初のドメイン コントローラーを構成すると、ユーザーのローカル アカウントがドメイン セキュリティ プリンシパルに変換され、ユーザーや管理者などの一致するドメイン組み込みグループに追加されます。 組み込みのローカルスキーマ管理者、Domain Admins、または Enterprise Admins グループがないため、これらのメンバーシップはドメイン グループでは更新されず、Domain Admins グループには追加されません。

回避策

この動作を回避するには、Dsa.msc、Dsac.exe、または Active Directory Windows PowerShell モジュールを使用して、必要に応じてユーザーを Domain Admins グループと Enterprise Admins グループに追加します。 スキーマのアップグレードまたは変更を現在実行していない限り、ユーザーを Schema Admins グループに追加することはお勧めしません。

ログオフしてから再度ログオンすると、グループ メンバーシップの変更が有効になります。

詳細

この動作は想定されており、設計上の動作です。

この動作は常に AD DS に存在していますが、ビジネス ネットワークのセキュリティ手順の改善により、組み込みの管理者アカウントを使用するための Microsoft のベスト プラクティスに従っているお客様に動作が公開されています。

組み込みの管理者アカウントでは、少なくとも 1 人のユーザーが新しいフォレストに完全な管理グループ メンバーシップを持っていることを確認します。