エラー: 制御が委任された管理者以外のユーザーがコンピューターをドメイン コントローラーに参加しようとすると、アクセスが拒否されます
この記事では、制御を委任された管理者以外のユーザーがコンピューターをドメイン コントローラーに参加しようとするときのエラー メッセージの解決策を示します。
適用対象: Windows Server 2012 R2
元の KB 番号: 932455
現象
ドメイン コントローラーでは、管理者以外のユーザーに次の 1 つ以上の現象が発生する可能性があります。
特定のユーザーまたは特定のグループに、委任ウィザードを使用して組織単位 (OU) のドメインに対するコンピューター オブジェクトを追加または削除するアクセス許可が付与された後、ユーザーは一部のコンピューターをドメインに追加できません。 ユーザーがコンピューターをドメインに参加しようとすると、次のエラー メッセージが表示されることがあります。
アクセスが拒否されました。
注:
管理者は、問題なくコンピューターをドメインに参加させることができます。
Account Operators グループのメンバーまたは委任されたコントロールを持つユーザーは、ローカルでサインインするとき、またはリモート デスクトップを使用してドメイン コントローラーにサインインするときに、新しいユーザー アカウントを作成したり、パスワードをリセットしたりすることはできません。
ユーザーがパスワードをリセットしようとすると、次のエラー メッセージが表示されることがあります。
Windows では、 ユーザー名 のパスワードの変更を完了できません。アクセスが拒否されているためです。
ユーザーが新しいユーザー アカウントを作成しようとすると、次のエラー メッセージが表示されます。
特権が不足しているため、ユーザー名のパスワードを設定できません。Windows はこのアカウントを無効にしようとします。 この試行が失敗した場合、アカウントはセキュリティ リスクになります。 これを修復するには、できるだけ早く管理者に問い合わせてください。 このユーザーがログオンする前に、パスワードを設定し、アカウントを有効にする必要があります。
原因
これらの症状は、次の条件の 1 つ以上が当てはまる場合に発生する可能性があります。
ユーザーまたはグループに、コンピューター オブジェクトの [パスワードのリセット] アクセス許可が付与されていません。
注:
指定したユーザーまたは指定したグループにコンピューター オブジェクトのパスワードのリセットアクセス許可が設定されていない場合、ユーザーまたはグループはコンピューターをドメインに参加できません。 ユーザーは、このアクセス許可なしでドメインの新しいコンピューター アカウントを作成できます。 ただし、コンピューター アカウントが Active Directory に既に存在する場合は、既存のコンピューター オブジェクトのコンピューター オブジェクトのプロパティをリセットするためにパスワードのリセットアクセス許可が必要であるため、"アクセスが拒否されました" というエラー メッセージが表示されます。
ユーザーは、Account Operators グループの委任された制御を受けているか、アカウントオペレーター グループのメンバーです。 これらのユーザーには、"Active Directory ユーザーとコンピューター" の組み込み OU に対する読み取りアクセス許可が付与されていません。
解決方法
ユーザーがコンピューターをドメインに参加できない問題を解決するには、次の手順に従います。
- [ スタート] を選択し、[ 実行] を選択し、「 dsa.msc」と入力して、[ OK] を選択します。
- 作業ウィンドウで、ドメイン ノードを展開します。
- 変更する OU を見つけて右クリックし、[ 委任コントロール] を選択します。
- コントロールの委任ウィザードで、[ 次へ] を選択します。
- [ 追加] を選択して、特定のユーザーまたは特定のグループを [選択したユーザーとグループ ] の一覧に追加し、[ 次へ] を選択します。
- [ 委任するタスク ] ページで、[ 委任するカスタム タスクの作成] を選択し、[ 次へ] を選択します。
- フォルダー内の次のオブジェクトのみを選択し、一覧から [コンピューター オブジェクトチェック] ボックスをクリックして選択します。 次に、一覧の下にある [選択したオブジェクトをこのフォルダーに作成する] ボックスと [このフォルダー内の選択したオブジェクトを削除する] の下にある [チェック] ボックスを選択します。
- [次へ] を選択します。
- [アクセス許可] ボックスの一覧で、次のチェック ボックスをクリックして選択します。
- パスワードのリセット
- アカウントの読み取りと書き込みの制限
- DNS ホスト名への検証済み書き込み
- 検証済みのサービス プリンシパル名への書き込み
- [ 次へ] を選択し、[完了] を選択 します。
- "Active Directory ユーザーとコンピューター" MMC スナップインを閉じます。
ユーザーがパスワードをリセットできない問題を解決するには、次の手順に従います。
[ スタート] を選択し、[ 実行] を選択し、「 dsa.msc」と入力して、[ OK] を選択します。
作業ウィンドウで、ドメイン ノードを展開します。
[ 組み込み] を見つけて右クリックし、[ プロパティ] を選択します。
[ 組み込みプロパティ ] ダイアログ ボックスで、[ セキュリティ ] タブを選択します。
[ グループ名またはユーザー名 ] の一覧で、[ アカウント演算子] を選択します。
[アカウントオペレーターのアクセス許可] で、[読み取り] アクセス許可の [チェックを許可する] ボックスをクリックして選択し、[OK] を選択します。
注:
Account Operators グループ以外のグループまたはユーザーを使用する場合は、そのグループまたはそのユーザーに対して手順 5 と 6 を繰り返します。
"Active Directory ユーザーとコンピューター" MMC スナップインを閉じます。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示