Ошибка. Доступ запрещен, если пользователи, не являющиеся администраторами, которым делегировано управление, пытаются присоединить компьютеры к контроллеру домена

  • Статья

В этой статье представлено решение для сообщения об ошибке, когда пользователи, не являющиеся администраторами, которым делегировано управление, пытаются присоединить компьютеры к контроллеру домена.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 932455

Симптомы

На контроллере домена пользователи, не являющиеся администраторами, могут столкнуться с одним или несколькими из следующих симптомов:

  • После того как конкретному пользователю или определенной группе будет предоставлено разрешение на добавление или удаление объектов-компьютеров в домен в подразделении с помощью мастера делегирования, пользователи не смогут добавить некоторые компьютеры в домен. Когда пользователь пытается присоединить компьютер к домену, пользователи могут получить следующее сообщение об ошибке:

    Отказ в доступе.

    Примечание.

    Администраторы могут присоединять компьютеры к домену без каких-либо проблем.

  • Пользователи, которые являются членами группы "Операторы учетных записей" или которым было делегировано управление, не могут создавать новые учетные записи пользователей или сбрасывать пароли при локальном входе или при входе через удаленный рабочий стол в контроллер домена.

    При попытке сбросить пароль пользователи могут получить следующее сообщение об ошибке:

    Windows не может завершить изменение пароля для имени пользователя , так как: доступ запрещен.

    Когда пользователи пытаются создать новую учетную запись пользователя, они получают следующее сообщение об ошибке:

    Пароль для имени пользователя не может быть задан из-за недостаточных привилегий. Windows попытается отключить эту учетную запись. Если эта попытка завершится неудачей, учетная запись станет угрозой безопасности. Обратитесь к администратору как можно скорее, чтобы исправить эту ошибку. Прежде чем этот пользователь сможет войти в систему, необходимо задать пароль и включить учетную запись.

Причина

Эти симптомы могут возникать при выполнении одного или нескольких из следующих условий:

  • Пользователю или группе не предоставлено разрешение сброса паролей для объектов-компьютеров.

    Примечание.

    Пользователь или группа не могут присоединить компьютер к домену, если указанный пользователь или указанная группа не имеют разрешения сброса пароля для объектов компьютера. Пользователи могут создавать новые учетные записи компьютеров для домена без этого разрешения. Но если учетная запись компьютера уже присутствует в Active Directory, она получит сообщение об ошибке "Доступ запрещен", так как для сброса свойств объекта компьютера для существующего объекта-компьютера требуется разрешение на сброс пароля.

  • Пользователи получили делегированный контроль над группой "Операторы учетных записей" или являются членами группы "Операторы учетных записей". Этим пользователям не было предоставлено разрешение на чтение во встроенном подразделении в Пользователи и компьютеры Active Directory.

Разрешение

Чтобы устранить проблему, из-за которой пользователи не могут присоединить компьютер к домену, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите Выполнить, введите dsa.msc, а затем нажмите кнопку ОК.
  2. В области задач разверните узел домена.
  3. Найдите и щелкните правой кнопкой мыши подразделение , которое требуется изменить, а затем выберите Пункт Делегировать управление.
  4. В мастере делегирования элементов управления нажмите кнопку Далее.
  5. Выберите Добавить, чтобы добавить определенного пользователя или определенную группу в список Выбранные пользователи и группы , а затем нажмите кнопку Далее.
  6. На странице Задачи для делегирования выберите Создать пользовательскую задачу для делегирования, а затем нажмите кнопку Далее.
  7. Выберите в папке Только следующие объекты, а затем в списке щелкните, чтобы выбрать проверка объекты-компьютеры. Затем выберите поля проверка под списком, Создать выбранные объекты в этой папке и Удалить выбранные объекты в этой папке.
  8. Нажмите кнопку Далее.
  9. В списке Разрешения выберите следующие проверка поля:
    • Сброс пароля
    • Ограничения учетных записей для чтения и записи
    • Проверенная запись в dns-имя узла
    • Проверенная запись в имя субъекта-службы
  10. Нажмите кнопку Далее и нажмите кнопку Готово.
  11. Закройте оснастку MMC "Пользователи и компьютеры Active Directory".

Чтобы устранить проблему, из-за которой пользователи не могут сбрасывать пароли, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите Выполнить, введите dsa.msc, а затем нажмите кнопку ОК.

  2. В области задач разверните узел домена.

  3. Найдите и щелкните правой кнопкой мыши Builtin, а затем выберите Свойства.

  4. В диалоговом окне Встроенные свойства выберите вкладку Безопасность .

  5. В списке Имена групп или пользователей выберите Операторы учетных записей.

  6. В разделе Разрешения для операторов учетных записей выберите поле Разрешить проверка для разрешения на чтение, а затем нажмите кнопку ОК.

    Примечание.

    Если вы хотите использовать группу или пользователя, отличного от группы операторов учетных записей, повторите шаги 5 и 6 для этой группы или этого пользователя.

  7. Закройте оснастку MMC "Пользователи и компьютеры Active Directory".