Erro: o acesso é negado quando usuários não administradores que foram delegados de controle tentam ingressar computadores em um controlador de domínio

  • Artigo

Este artigo fornece uma solução para uma mensagem de erro quando usuários não administradores que foram delegados de controle tentam unir computadores a um controlador de domínio.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 932455

Sintomas

Em um controlador de domínio, usuários não administradores podem experimentar um ou mais dos seguintes sintomas:

  • Depois que um usuário específico ou um grupo específico receber a permissão para adicionar ou remover objetos de computador para o domínio em uma OU (unidade organizacional) por meio do Assistente de Delegação, os usuários não poderão adicionar alguns dos computadores ao domínio. Quando o usuário tenta ingressar um computador em um domínio, os usuários podem receber a seguinte mensagem de erro:

    Acesso negado.

    Observação

    Os administradores podem ingressar computadores no domínio sem problemas.

  • Os usuários que são membros do grupo Operadores de Conta ou que foram delegados de controle não podem criar novas contas de usuário ou redefinir senhas quando entrarem localmente ou quando entrarem por meio da Área de Trabalho Remota no controlador de domínio.

    Quando os usuários tentam redefinir uma senha, eles podem receber a seguinte mensagem de erro:

    O Windows não pode concluir a alteração de senha para nome de usuário porque: o acesso é negado.

    Quando os usuários tentam criar uma nova conta de usuário, eles recebem a seguinte mensagem de erro:

    A senha para nome de usuário não pode ser definida devido a privilégios insuficientes, o Windows tentará desabilitar essa conta. Se essa tentativa falhar, a conta se tornará um risco de segurança. Entre em contato com um administrador o mais rápido possível para reparar isso. Antes que esse usuário possa fazer logon, a senha deve ser definida e a conta deve estar habilitada.

Motivo

Esses sintomas podem ocorrer se uma ou mais das seguintes condições forem verdadeiras:

  • Um usuário ou um grupo não recebeu a permissão Redefinir Senhas para os objetos do computador.

    Observação

    Um usuário ou um grupo não poderá ingressar um computador em um domínio se o usuário ou o grupo especificado não tiver a permissão Redefinir Senha definida para os objetos do computador. Os usuários podem criar novas contas de computador para o domínio sem essa permissão. Mas se a conta do computador já estiver presente no Active Directory, eles receberão a mensagem de erro "O acesso é negado", pois a permissão Redefinir Senha é necessária para redefinir as propriedades do objeto do computador para o objeto de computador existente.

  • Os usuários foram delegados do grupo Operadores de Conta ou são membros do grupo Operadores de Conta. Esses usuários não receberam a permissão de leitura na UA interna em "Usuários e Computadores do Active Directory".

Resolução

Para resolve o problema em que os usuários não podem ingressar um computador em um domínio, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite dsa.msc e selecione OK.
  2. No painel de tarefas, expanda o nó de domínio.
  3. Localize e clique com o botão direito do mouse na OU que você deseja modificar e selecione Controle de Delegado.
  4. No Assistente de Delegação de Controle, selecione Avançar.
  5. Selecione Adicionar para adicionar um usuário específico ou um grupo específico à lista de usuários e grupos selecionados e selecione Avançar.
  6. Na página Tarefas para Delegar , selecione Criar uma tarefa personalizada para delegar e selecione Avançar.
  7. Selecione Somente os seguintes objetos na pasta e, em seguida, na lista, clique para selecionar os objetos de computador marcar caixa. Em seguida, selecione as caixas marcar abaixo da lista, Crie objetos selecionados nesta pasta e Exclua objetos selecionados nesta pasta.
  8. Selecione Avançar.
  9. Na lista Permissões, clique para selecionar as seguintes caixas de marcar:
    • Redefinir senha
    • Restrições de conta de leitura e gravação
    • Gravação validada para o nome do host DNS
    • Gravação validada para o nome da entidade de serviço
  10. Selecione Avançar e, em seguida, selecione Concluir.
  11. Feche o snap-in do MMC "Usuários e Computadores do Active Directory".

Para resolve o problema no qual os usuários não podem redefinir senhas, siga estas etapas:

  1. Selecione Iniciar, selecione Executar, digite dsa.msc e selecione OK.

  2. No painel de tarefas, expanda o nó de domínio.

  3. Localize e clique com o botão direito do mouse em Builtin e selecione Propriedades.

  4. Na caixa de diálogo Propriedades Internas , selecione a guia Segurança .

  5. Na lista Nomes de grupo ou de usuário , selecione Operadores de Conta.

  6. Em Permissões para Operadores de Conta, clique para selecionar a caixa Permitir marcar para a permissão Ler e selecione OK.

    Observação

    Se você quiser usar um grupo ou um usuário diferente do grupo Operadores de Conta, repita as etapas 5 e 6 para esse grupo ou para esse usuário.

  7. Feche o snap-in do MMC "Usuários e Computadores do Active Directory".