Beim Ausführen von Dcpromo.exe zur Erstellung eines Replikats wird Fehlermeldung "Die erforderlichen Eigenschaften für das Computerkonto wurden nicht geändert. Zugriff verweigert" angezeigt

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
232070 When you run Dcpromo.exe to create a replica domain controller, you receive the "Failed to modify the necessary properties for the machine account. Access is denied." error message

Problembeschreibung

Wenn Sie "Dcpromo.exe" ausführen, um einen replizierten Domänencontroller zu erstellen, kann in Dcpromo.exe folgende Fehlermeldung angezeigt werden:
Die erforderlichen Eigenschaften für das Computerkonto wurden nicht geändert. Zugriff verweigert.
Eine Untersuchung der Datei "Dcpromoui.log" weist darauf hin, dass der erste Teil der Heraufstufung erfolgreich war (dies wird dadurch bestätigt, dass der Computer ein Mitgliedsserver in der Domäne wird), die Heraufstufung zum Domänencontroller jedoch nicht erfolgt ist, weil "Dcpromo.exe" das Computerkonto nicht ändern konnte.

Ursache

Dieses Verhalten kann auftreten, wenn dem für die Heraufstufung verwendeten Konto nicht die Berechtigung "Delegierungsprivileg" (delegation privilege) zugewiesen wurde. Wenn die Berechtigung zugewiesen wurde, kann es auch daran liegen, dass die Richtlinie noch nicht übermittelt wurde, möglicherweise aufgrund von Replikationslatenz. Standardmäßig verfügen nur Mitglieder der Gruppe "Administratoren" über die Berechtigung "Delegierungsprivileg" (delegation privilege).

Lösung

Um dieses Problem zu beheben, verwenden Sie entweder ein Konto in der Gruppe "Administratoren" oder fügen Sie das entsprechende Konto zu der Gruppe "Administratoren" hinzu. Um diese Berechtigung einem anderen Benutzer oder einer anderen Gruppe zu erteilen, gehen Sie nach den folgenden Schritten vor:
  1. Bearbeiten Sie im Snap-In Active Directory-Benutzer und -Gruppen die Richtlinie des Standard-Domänencontrollers auf der Organisationseinheit des Domänencontrollers.
  2. Doppelklicken Sie auf Computerkonfiguration, dann auf Windows-Einstellungen, dann auf Sicherheitseinstellungen, dann auf Lokale Richtlinien und anschließend auf Zuweisen von Benutzerrechten.
  3. Fügen Sie unter Computer und Benutzerkennungen denen für Delegierungszwecke vertraut wird das entsprechende Konto oder die entsprechende Gruppe hinzu.
  4. Wenden Sie die Richtlinie an, wobei Sie eine der folgenden Methoden verwenden:
    • Geben Sie an einer Eingabeaufforderung secedit /refreshpolicy machine_policy ein.
    • Verwenden Sie im Snap-In Standorte und Dienste (Dssite.msc) die Funktion Jetzt replizieren, um die Replikation von dem Domänencontroller, auf dem die Richtlinie geändert wurde, zu den anderen Domänencontrollern in der Domäne zu erzwingen.
Um die aktualisierte Richtlinie zu übernehmen, starten Sie den Domänencontroller neu.

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Weitere Informationen

Die Datei "Dcpromoui.log" protokolliert einen Fehler, der dem unten aufgeführten entspricht. In dem folgenden Beispiel versucht ein Replikat-/Reservedomänencontroller, installiert zu werden:

dcpromoui t:0x490 00685 Exit doProgressLoop
dcpromoui t:0x490 00686 Exit DS::CreateReplica
dcpromoui t:0x490 00687 Exception caught
dcpromoui t:0x490 00688 catch completed
dcpromoui t:0x490 00689 handling exception
dcpromoui t:0x490 00690 Active Directory Installation Failed
dcpromoui t:0x490 00691 Enter GetErrorMessage 80070005
dcpromoui t:0x490 00692 Exit GetErrorMessage 80070005
dcpromoui t:0x490 00693 Access is denied.
Weiter unten im Protokoll erscheint der folgende Text:

Die erforderlichen Eigenschaften für das Computerkonto MYDC$ wurden nicht geändert.

"Zugriff verweigert."
Das folgende Beispiel zeigt eine Dcpromoui.log-Ausgabe von einem Computer mit Windows 2000 Service Pack 4 (SP4):
09/12 09:33:14 [INFO] Fehler - Der Assistent zum Installieren von Active Directory konnte das Computerkonto <Computername>$ nicht in ein Domänencontrollerkonto konvertieren. (5) 09/12 09:33:15 [INFO] NtdsInstall for <domainname> returned 5 09/12 09:33:15 [INFO] DsRolepInstallDs returned 5 09/12 09:33:15 [ERROR] Failed to install to Directory Service (5) 
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 232070 – Letzte Überarbeitung: 08.01.2017 – Revision: 1

Feedback