เกิดข้อผิดพลาดเมื่อผู้ใช้ไม่ใช่ผู้ดูแลที่มีการควบคุม delegated พยายามเข้าใช้คอมพิวเตอร์เพื่อใช้ใน Windows Server 2003 หรือตัวควบคุมโดเมนที่ใช้ Windows Server 2008: "การเข้าถึงถูกปฏิเสธ"

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 932455 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

บนการ Microsoft Windows Server 2003 หรือตัวควบคุมโดเมนที่ใช้ Windows Server 2008 ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบอาจพบอาการต่อไปนี้อย่างน้อยหนึ่งอย่าง:
  • หลังจากที่ให้ผู้ใช้ที่ระบุหรือกลุ่มที่ระบุไว้ ด้วยสิทธิ์ใน การเพิ่ม หรือ การเอาวัตถุคอมพิวเตอร์โดเมนในการเพิ่มหน่วยองค์กร (OU) ผ่านตัวช่วยสร้างการการมอบหมาย ผู้ใช้ไม่สามารถเพิ่มบางเครื่องโดเมน เมื่อผู้ใช้พยายามที่จะเข้าร่วมกับคอมพิวเตอร์ในโดเมน ผู้ใช้อาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
    ปฏิเสธการเข้าใช้งาน
    หมายเหตุ:ผู้ดูแลระบบสามารถเชื่อมต่อคอมพิวเตอร์กับโดเมนโดยไม่มีปัญหาใด ๆ
  • ผู้ใช้ที่เป็นสมาชิกของกลุ่มบัญชี Operators หรือที่มีการควบคุม delegated ไม่สามารถสร้างบัญชีผู้ใช้ใหม่ หรือรีเซ็ตรหัสผ่าน เมื่อพวกเขาล็อกออนเฉพาะ หรือ เมื่อพวกเขาสู่ระบบผ่านทางบริการเทอร์มินัลกับตัวควบคุมโดเมน

    เมื่อผู้ใช้ที่พยายามรีเซ็ตรหัสผ่าน เหล่านี้อาจได้รับข้อความแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้:
    windows ไม่สามารถทำการเปลี่ยนแปลงรหัสผ่านสำหรับชื่อผู้ใช้เนื่องจาก: ปฏิเสธการเข้าถึง
    เมื่อผู้ใช้ที่พยายามสร้างบัญชีผู้ใช้ใหม่ พวกเขาได้รับข้อความแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้:
    ไม่สามารถตั้งรหัสผ่านสำหรับชื่อผู้ใช้เนื่องจากสิทธิ์ไม่เพียงพอ Windows จะพยายามทำการปิดใช้งานบัญชีนี้ หากความพยายามในการทำงานนี้ล้มเหลว บัญชีผู้ใช้จะกลายเป็นการ ให้เกิดความเสี่ยงด้านความปลอดภัย ติดต่อผู้ดูแลโดยเร็วที่สุดในการซ่อมแซมนี้ ก่อนที่ผู้ใช้นี้สามารถเข้าสู่ ควรมีการตั้งค่ารหัสผ่าน และบัญชีต้องเปิดใช้งาน

สาเหตุ

อาการเหล่านี้อาจเกิดขึ้นได้หากหนึ่ง หรือมากกว่ามีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • ผู้ใช้หรือกลุ่มยังไม่ได้รับอนุญาตให้สิทธิ์ในการรีเซ็ตรหัสผ่านสำหรับวัตถุคอมพิวเตอร์

    หมายเหตุ:ผู้ใช้หรือกลุ่มไม่สามารถร่วมกับคอมพิวเตอร์ในโดเมนถ้าผู้ใช้ที่ระบุหรือกลุ่มที่ระบุไม่มีสิทธิ์ในการรีเซ็ตรหัสผ่านที่กำหนดสำหรับวัตถุคอมพิวเตอร์ ผู้ใช้สามารถสร้างบัญชีใหม่ของคอมพิวเตอร์ในโดเมนโดยไม่ต้องการอนุญาตนี้ แต่ถ้าบัญชีคอมพิวเตอร์อยู่ใน Active Directory พวกเขาจะได้รับข้อผิดพลาด "การเข้าถึงถูกปฏิเสธ" ข้อความได้เนื่องจากสิทธิ์ในการรีเซ็ตรหัสผ่านต้องใช้การตั้งค่าคุณสมบัติของวัตถุคอมพิวเตอร์สำหรับวัตถุคอมพิวเตอร์ที่มีอยู่
  • ผู้ใช้ได้รับการควบคุม delegated ของกลุ่มบัญชี Operators หรือเป็นสมาชิกของกลุ่มผู้ปฏิบัติการบัญชี ผู้ใช้เหล่านี้ได้ไม่ได้รับอนุญาตให้สิทธิ์ในการอ่านใน OU ที่มีอยู่แล้วใน "ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์"

การแก้ไข

ผู้ใช้ไม่สามารถเข้าร่วมกับคอมพิวเตอร์ในโดเมน

การแก้ไขปัญหาที่ผู้ใช้ไม่สามารถเพิ่มคอมพิวเตอร์เข้าโดเมน ดำเนินการดังต่อไปนี้:
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:dsa.mscแล้ว คลิกตกลง.
  2. ในบานหน้าต่างงาน ขยายโหนดโดเมน
  3. ค้นหา และคลิกขวาที่ OU ที่คุณต้อง การปรับเปลี่ยน แล้ว คลิกตัวควบคุมของผู้รับมอบสิทธิ์.
  4. ในตัวการมอบหมายของตัวควบคุมช่วย คลิกถัดไป.
  5. คลิกaddเพื่อเพิ่มผู้ใช้ที่ระบุหรือกลุ่มเฉพาะไปผู้ใช้ที่เลือกและกลุ่มรายการ และจากนั้น คลิกถัดไป.
  6. ในการงานไปแทนหน้า คลิกสร้างงานที่กำหนดเองเพื่อการมอบหมายต่อแล้ว คลิกถัดไป.
  7. คลิกเฉพาะวัตถุต่อไปนี้ในโฟลเดอร์จากนั้น จากรายการ คลิกเพื่อเลือกนั้นวัตถุคอมพิวเตอร์กล่องกาเครื่องหมาย เลือกกล่องกาเครื่องหมายด้านล่างรายการ แล้วสร้างวัตถุที่เลือกในโฟลเดอร์นี้และลบวัตถุที่เลือกไว้ในโฟลเดอร์นี้.
  8. คลิกถัดไป.
  9. ในการPermissions:รายการ คลิกเพื่อเลือกกล่องกาเครื่องหมายต่อไปนี้:
    • รีเซ็ตรหัสผ่าน
    • อ่าน และเขียนข้อจำกัดของบัญชี
    • การเขียนไปยังชื่อ DNS ที่โฮสต์ validated
    • หากต้องการเขียน validated ให้ชื่อหลักของบริการ
  10. คลิกถัดไปแล้ว คลิกเสร็จสิ้น.
  11. ปิดสแน็ปอิน MMC "Active Directory ผู้ใช้และคอมพิวเตอร์"

ผู้ใช้ไม่สามารถรีเซ็ตรหัสผ่าน

การแก้ไขปัญหาที่ผู้ใช้ไม่สามารถรีเซ็ตรหัสผ่าน ดำเนินการดังต่อไปนี้:
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:dsa.mscแล้ว คลิกตกลง.
  2. ในบานหน้าต่างงาน ขยายโหนดโดเมน
  3. ค้นหา และคลิกขวาBuiltinแล้ว คลิกคุณสมบัติ.
  4. ในการคุณสมบัติ Builtinกล่องโต้ตอบ คลิกการการรักษาความปลอดภัยแท็บ
  5. ในการชื่อกลุ่มหรือผู้ใช้รายการ คลิกผู้ปฏิบัติการบัญชี.
  6. ภายใต้สิทธิ์สำหรับผู้ปฏิบัติการบัญชีคลิกเพื่อเลือกนั้นอนุญาตให้กล่องกาเครื่องหมายสำหรับการReadสิทธิ์ แล้วคลิกตกลง.

    หมายเหตุ:ถ้าคุณต้องการใช้กลุ่มหรือผู้ใช้อื่นที่ไม่ใช่กลุ่มบัญชี Operators ทำซ้ำขั้นตอนที่ 5 และ 6 สำหรับกลุ่มหรือผู้ใช้นั้น
  7. Close the "Active Directory Users and Computers" MMC snap-in.

คุณสมบัติ

หมายเลขบทความ (Article ID): 932455 - รีวิวครั้งสุดท้าย: 16 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Keywords: 
kbexpertiseadvanced kbtshoot kbmt KB932455 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:932455

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com