Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Cuando ejecuta Dcpromo.exe para crear un controlador de dominio de réplica, recibe el mensaje de error "No se puede modificar las propiedades necesarias de la cuenta de equipo. Acceso denegado"

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

Síntomas
Al ejecutar Dcpromo.exe para crear un controlador de dominio de réplica, puede recibir un mensaje de error similar al siguiente en Dcpromo.exe:
No se puede modificar las propiedades necesarias de la cuenta de equipo. Acceso denegado.
Un examen del archivo Dcpromoui.log indica que la parte inicial de la promoción se realizó correctamente (esto también se comprueba porque el equipo se convierte en servidor miembro en el dominio), pero que la promoción a controlador de dominio no se realizó correctamente porque Dcpromo.exe no pudo modificar la cuenta de equipo.
Causa
Este problema se puede producir si a la cuenta que se utiliza para la operación de promoción no se le ha asignado el derecho "Privilegio de delegación". O bien, si se ha asignado este derecho, la directiva no se ha propagado todavía, posiblemente debido a la latencia de replicación. De forma predeterminada, sólo los miembros del grupo Administradores tienen el derecho "Privilegio de delegación".
Solución
Para resolver este problema, utilice una cuenta del grupo Administradores o agregue la cuenta adecuada a este grupo. Para conceder este derecho a otro usuario o grupo, establezca el privilegio de delegación en el objeto de directiva de grupo:
  1. En el complemento Usuarios y equipos de Active Directory, modifique la Directiva predeterminada de controladores de dominio en la Unidad de organización de controladores de dominio.
  2. Haga doble clic en Configuración del equipo y en Configuración de Windows, y haga clic en Configuración de seguridad, Directivas locales y Asignación de derechos de usuario.
  3. En Habilitar confianza con el equipo y las cuentas de usuario para delegación, agregue la cuenta o grupo adecuados.
  4. Aplique la directiva utilizando uno de los métodos siguientes:
    • En un símbolo del sistema, escriba: secedit /refreshpolicy machine_policy /enforce.
    • En el complemento Sitios y servicios (Dssite.msc), utilice la característica Replicar ahora para forzar la replicación desde el controlador de dominio en el que se cambió la directiva en los demás controladores de dominio del dominio.
Para aplicar la directiva actualizada, reinicie el controlador de dominio.
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a".
Más información
El archivo Dcpromoui.log notifica un error similar al que se muestra a continuación. En el ejemplo siguiente, se está intentando instalar un controlador de dominio de reserva o réplica:
dcpromoui t:0x490 00685    Exit  doProgressLoop dcpromoui t:0x490 00686    Exit  DS::CreateReplica dcpromoui t:0x490 00687    Exception caught dcpromoui t:0x490 00688    catch completed dcpromoui t:0x490 00689    handling exception dcpromoui t:0x490 00690    Active Directory Installation Failed dcpromoui t:0x490 00691    Enter GetErrorMessage 80070005 dcpromoui t:0x490 00692    Exit  GetErrorMessage 80070005 dcpromoui t:0x490 00693    Access is denied. 
Más abajo en el registro, aparece el texto siguiente
Failed to modify the necessary properties for the machine account MYDC$ (No se puede modificar las propiedades necesarias para la cuenta de equipo MYDC$)"Access is denied (Acceso denegado). "; 
A continuación, se muestra el resultado de ejemplo de Dcpromoui.log de un equipo que ejecuta Windows 2000 Service Pack 4 (SP4):
09/12 09:33:14 [INFORMACIÓN] Error - El Asistente para instalación de Active Directory no puede convertir la cuenta de equipo <nombreDeEquipo>$ en una cuenta de controlador de dominio. (5) 09/12 09:33:15 [INFO] NtdsInstall para <nombreDeDominio> devolvió 5 09/12 09:33:15 [INFORMACIÓN] DsRolepInstallDs devolvió 5 09/12 09:33:15 [ERROR] No se pudo instalar en el servicio de directorio (5)
Propiedades

Id. de artículo: 232070 - Última revisión: 03/25/2008 09:15:16 - Revisión: 5.4

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008

  • kbenv kbprb KB232070
Comentarios
did=1&t=">