Cuando ejecuta Dcpromo.exe para crear un controlador de dominio de réplica, recibe el mensaje de error "No se puede modificar las propiedades necesarias de la cuenta de equipo. Acceso denegado"

Síntomas

Al ejecutar Dcpromo.exe para crear un controlador de dominio de réplica, puede recibir un mensaje de error similar al siguiente en Dcpromo.exe:
No se puede modificar las propiedades necesarias de la cuenta de equipo. Acceso denegado.
Un examen del archivo Dcpromoui.log indica que la parte inicial de la promoción se realizó correctamente (esto también se comprueba porque el equipo se convierte en servidor miembro en el dominio), pero que la promoción a controlador de dominio no se realizó correctamente porque Dcpromo.exe no pudo modificar la cuenta de equipo.

Causa

Este problema se puede producir si a la cuenta que se utiliza para la operación de promoción no se le ha asignado el derecho "Privilegio de delegación". O bien, si se ha asignado este derecho, la directiva no se ha propagado todavía, posiblemente debido a la latencia de replicación. De forma predeterminada, sólo los miembros del grupo Administradores tienen el derecho "Privilegio de delegación".

Solución

Para resolver este problema, utilice una cuenta del grupo Administradores o agregue la cuenta adecuada a este grupo. Para conceder este derecho a otro usuario o grupo, establezca el privilegio de delegación en el objeto de directiva de grupo:
  1. En el complemento Usuarios y equipos de Active Directory, modifique la Directiva predeterminada de controladores de dominio en la Unidad de organización de controladores de dominio.
  2. Haga doble clic en Configuración del equipo y en Configuración de Windows, y haga clic en Configuración de seguridad, Directivas locales y Asignación de derechos de usuario.
  3. En Habilitar confianza con el equipo y las cuentas de usuario para delegación, agregue la cuenta o grupo adecuados.
  4. Aplique la directiva utilizando uno de los métodos siguientes:
    • En un símbolo del sistema, escriba: secedit /refreshpolicy machine_policy /enforce.
    • En el complemento Sitios y servicios (Dssite.msc), utilice la característica Replicar ahora para forzar la replicación desde el controlador de dominio en el que se cambió la directiva en los demás controladores de dominio del dominio.
Para aplicar la directiva actualizada, reinicie el controlador de dominio.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a".

Más información

El archivo Dcpromoui.log notifica un error similar al que se muestra a continuación. En el ejemplo siguiente, se está intentando instalar un controlador de dominio de reserva o réplica:

dcpromoui t:0x490 00685 Exit doProgressLoop
dcpromoui t:0x490 00686 Exit DS::CreateReplica
dcpromoui t:0x490 00687 Exception caught
dcpromoui t:0x490 00688 catch completed
dcpromoui t:0x490 00689 handling exception
dcpromoui t:0x490 00690 Active Directory Installation Failed
dcpromoui t:0x490 00691 Enter GetErrorMessage 80070005
dcpromoui t:0x490 00692 Exit GetErrorMessage 80070005
dcpromoui t:0x490 00693 Access is denied.
Más abajo en el registro, aparece el texto siguiente

Failed to modify the necessary properties for the machine account MYDC$ (No se puede modificar las propiedades necesarias para la cuenta de equipo MYDC$)

"Access is denied (Acceso denegado). ";
A continuación, se muestra el resultado de ejemplo de Dcpromoui.log de un equipo que ejecuta Windows 2000 Service Pack 4 (SP4):
09/12 09:33:14 [INFORMACIÓN] Error - El Asistente para instalación de Active Directory no puede 
convertir la cuenta de equipo <nombreDeEquipo>$ en una cuenta de controlador de dominio. (5)
09/12 09:33:15 [INFO] NtdsInstall para <nombreDeDominio> devolvió 5
09/12 09:33:15 [INFORMACIÓN] DsRolepInstallDs devolvió 5
09/12 09:33:15 [ERROR] No se pudo instalar en el servicio de directorio (5)
Propiedades

Id. de artículo: 232070 - Última revisión: 8 ene. 2017 - Revisión: 1

Comentarios