Mensaje de error cuando los usuarios que no sea de administrador que se han delega el control intentan unir equipos a basado en Windows Server 2003 o un controlador de dominio basado en Windows Server 2008: "Acceso denegado"

Seleccione idioma Seleccione idioma
Id. de artículo: 932455 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

En un controlador de dominio basado en Windows Server 2008 o basado en Microsoft Windows Server 2003, los usuarios no administradores pueden experimentar uno o varios de los síntomas siguientes:
  • Después de que un usuario específico o un grupo específico se proporciona con el permiso para agregar o quitar objetos de equipo al dominio en una unidad organizativa (OU) mediante el Asistente para delegación, los usuarios no pueden agregar algunos de los equipos al dominio. Cuando el usuario intenta unir un equipo a un dominio, los usuarios pueden recibir el mensaje de error siguientes:
    Acceso denegado.
    Nota Los administradores pueden unir equipos al dominio sin ningún problema.
  • Usuarios que están los miembros del grupo Operadores de cuentas o que han sido delega el control no pueden crear nuevas cuentas de usuario o restablecer las contraseñas cuando inicien sesión localmente o cuando inicien sesión mediante servicios de Terminal Server para el controlador de dominio.

    Cuando los usuarios intentan restablecer una contraseña, pueden recibir el siguiente mensaje de error:
    Windows no puede completar el cambio de contraseña para el username porque: acceso denegado.
    Cuando los usuarios intentan crear una nueva cuenta de usuario, reciben el mensaje de error siguientes:
    La contraseña de nombre de usuario no se puede establecer debido a falta de privilegios, intenta deshabilitar esta cuenta. Si este intento falla, la cuenta se convertirá en un riesgo de seguridad. Póngase en contacto con un administrador tan pronto como sea posible para reparar esto. Antes de este usuario puede iniciar la sesión, se debe establecer la contraseña, y debe habilitarse la cuenta.

Causa

Estos síntomas pueden producirse si uno se o varias de las siguientes condiciones es true:
  • Un usuario o un grupo no se ha concedido el permiso restablecer contraseñas para los objetos de equipo.

    Nota Un usuario o un grupo no se puede unir un equipo a un dominio si el usuario especificado o el grupo especificado no tiene el permiso Restablecer contraseña establecido para los objetos de equipo. Los usuarios pueden crear nuevas cuentas de equipo para el dominio sin este permiso. Pero si la cuenta de equipo ya está presente en Active Directory, recibirán el mensaje de error "Acceso denegado" porque es necesario el permiso Restablecer contraseña para restablecer las propiedades de objeto de equipo para el objeto de equipo existente.
  • Los usuarios han sido delega el control del grupo Operadores de cuentas o son miembros del grupo Operadores de cuentas. Estos usuarios no tienen el permiso de lectura en la OU integrada en "Usuarios y equipos."

Solución

Los usuarios no pueden unir un equipo a un dominio

Para resolver el problema en el que los usuarios no pueden unir un equipo a un dominio, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba dsa.msc y, a continuación, haga clic en Aceptar .
  2. En el panel de tareas, expanda el nodo del dominio.
  3. Busque y haga clic con el botón secundario en la unidad organizativa que desea modificar y, a continuación, haga clic en Delegar Control .
  4. En el Asistente para delegación de control, haga clic en siguiente .
  5. Haga clic en Agregar para agregar un usuario específico o un grupo específico a la lista de grupos y usuarios seleccionados y, a continuación, haga clic en siguiente .
  6. En la página tareas para delegar , haga clic en crear una tarea personalizada para delegar y, a continuación, haga clic en siguiente .
  7. Haga clic en sólo los siguientes objetos en la carpeta y, a continuación, en la lista, haga clic en casilla de verificación objetos de equipo . A continuación, seleccione las casillas de verificación debajo de la lista, crear objetos seleccionados en esta carpeta y Eliminar objetos seleccionados en esta carpeta .
  8. Haga clic en siguiente .
  9. En la lista permisos , haga clic para seleccionar las casillas de verificación siguientes:
    • Restablecer contraseña
    • lectura y escritura restricciones de cuenta
    • Escritura validada el nombre de host DNS
    • validados escribir en el nombre principal de servicio
  10. Haga clic en siguiente y, a continuación, haga clic en Finalizar .
  11. Cierre el complemento de MMC "Usuarios y equipos de Active Directory".

Los usuarios no pueden restablecer contraseñas

Para resolver el problema en el que los usuarios no pueden restablecer contraseñas, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba dsa.msc y, a continuación, haga clic en Aceptar .
  2. En el panel de tareas, expanda el nodo del dominio.
  3. Busque y haga clic con el botón secundario en integrados y a continuación, haga clic en Propiedades .
  4. En el cuadro de diálogo Propiedades de Builtin , haga clic en la ficha seguridad .
  5. En la lista de nombres de grupos o usuarios , haga clic en Operadores de cuentas .
  6. En permisos para operadores de cuentas , haga clic en para activar la casilla de verificación Permitir para el permiso de lectura y, a continuación, haga clic en Aceptar .

    Nota Si desea utilizar un grupo o un usuario distinto del grupo Operadores de cuentas, repita los pasos 5 y 6 para ese grupo o usuario.
  7. Cierre el complemento de MMC "Usuarios y equipos de Active Directory".

Propiedades

Id. de artículo: 932455 - Última revisión: jueves, 14 de mayo de 2009 - Versión: 2.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Palabras clave: 
kbmt kbexpertiseadvanced kbtshoot KB932455 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 932455

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com