已被委派的控制的非管理员用户尝试把计算机加入到基于 Windows Server 2003 的或基于 Windows Server 2008 的域控制器时出现错误消息: 访问被拒绝"

文章翻译 文章翻译
文章编号: 932455 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

在基于 Microsoft Windows Server 2003 的或基于 Windows Server 2008 的域控制器,上非管理员用户可能会遇到一个或多个以下症状:
  • 权限可以添加或删除计算机对象上委派向导通过组织单位 (OU) 域以提供特定用户或特定一组后,用户不能将的某些计算机添加到域中。当用户尝试在一台计算机加入一个域用户可能会收到以下错误消息:
    访问被拒绝。
    注意管理员可以将计算机加入到域没有任何问题。
  • 帐户操作员组的成员或谁已经委派的控制的用户不能创建新的用户帐户或本地登录时,或通过到域控制器的终端服务登录时重置密码。

    当用户尝试重置密码时,它们可能会收到以下错误消息:
    Windows 无法完成密码更改为 username,因为: 访问被拒绝。
    当用户尝试创建一个新的用户帐户时,他们会收到以下错误消息:
    由于没有足够的特权用户名的密码不能设置,Windows 将尝试禁用此帐户。如果将失败此尝试该帐户将成为一种安全风险。请联系管理员尽可能快地修复这。此用户可以登录前,应该设置密码,并且该帐户必须被启用。

原因

这些症状可能会发生,如果一个或多个下列条件,则请执行以下操作:
  • 一个用户或组没有被授予重设密码权限的计算机对象。

    注意一个用户或组不能将计算机加入到域如果指定的用户或指定的组不具有重设密码权限集的计算机对象。 用户可以创建新的计算机帐户的域不具有该权限。但如果该计算机帐户已经存在于 Active Directory,会收到"访问被拒绝"错误消息,因为重设密码权限才能重置的现有计算机对象的计算机对象属性。
  • 用户已被委派的控制的帐户操作员组或帐户操作员组的成员。这些用户未被授予读取权限,在内置 OU 中"active Directory 用户和计算机。

解决方案

用户不能将计算机加入到域

若要解决此问题的用户不能将计算机加入到域,请按照下列步骤操作:
  1. 单击 开始,单击 运行,键入 dsa.msc,然后单击 确定
  2. 在任务窗格中展开域节点。
  3. 找到并右键单击想要修改,OU,然后单击 委派控制
  4. 在委派控制向导,单击 下一步
  5. 单击 添加,将特定用户或特定一组添加到 所选用户和组 列表,然后单击 下一步
  6. 要委派的任务 页中单击 创建自定义任务委派,然后单击 下一步
  7. 单击 仅在文件夹中的下列对象,然后从列表中单击以选择 计算机对象 复选框。然后,选择复选框在列表下 创建此文件夹中的所选的对象删除此文件夹中的所选的对象
  8. 单击 下一步
  9. 权限 列表中单击以选中以下复选框:
    • 重置密码
    • 读取和写帐户限制
    • 验证写入到 DNS 主机名
    • 验证写入到服务主体名称
  10. 单击 下一步,然后单击 完成
  11. 关闭"Active Directory 用户和计算机"MMC 管理单元。

用户不能重新设置密码

若要解决此问题的用户不能重置密码,请按照下列步骤操作:
  1. 单击 开始,单击 运行,键入 dsa.msc,然后单击 确定
  2. 在任务窗格中展开域节点。
  3. 查找并右键单击 内置,然后单击 属性
  4. 内置属性 对话框中单击 安全 选项卡。
  5. 组或用户名称 列表中单击 $ 帐户操作员
  6. 帐户操作员的权限,下单击以选中 读取 权限的 允许 复选框,然后单击 确定

    注意如果您想要使用一组或帐户操作员组之外的用户,请为该组或用户重复步骤 5 和 6。
  7. 关闭"Active Directory 用户和计算机"MMC 管理单元。

属性

文章编号: 932455 - 最后修改: 2009年5月14日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
关键字:?
kbmt kbexpertiseadvanced kbtshoot KB932455 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 932455
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com