Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Mensaje de error cuando los usuarios no administradores que han sido delegado control intentan unir equipos basados en Windows Server 2003 o un controlador de dominio basado en Windows Server 2008: "Acceso denegado"

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 932455
Síntomas
En basado en Microsoft Windows Server 2003 o un controlador de dominio basado en Windows Server 2008, los usuarios no administradores pueden experimentar uno o varios de los síntomas siguientes:
  • Después de que un usuario específico o un grupo específico se proporciona con el permiso para agregar o quitar objetos de equipo en el dominio de una unidad organizativa (OU) mediante el Asistente para delegación, los usuarios pueden agregar algunos de los equipos al dominio. Cuando el usuario intenta unir un equipo a un dominio, los usuarios pueden recibir el siguiente mensaje de error:
    Acceso denegado.
    Nota: Los administradores pueden unir equipos al dominio sin ningún problema.
  • Los usuarios que son miembros del grupo Operadores de cuentas o que han sido control delegado no pueden crear nuevas cuentas de usuario o restablecer las contraseñas cuando inicien sesión localmente o cuando se conecten a través de servicios de terminales Server en el controlador de dominio.

    Cuando los usuarios intentan restablecer una contraseña, reciben el mensaje de error siguiente:
    Windows no puede completar el cambio de contraseña para nombre de usuario porque: acceso denegado.
    Cuando los usuarios intentan crear una nueva cuenta de usuario, que reciben el mensaje de error siguiente:
    No se puede establecer la contraseña para el nombre de usuario por falta de privilegios, Windows intentará deshabilitar esta cuenta. Si se produce un error en este intento, la cuenta será un riesgo de seguridad. Póngase en contacto con un administrador tan pronto como sea posible para reparar esto. Antes de que este usuario puede iniciar sesión, debe establecer la contraseña y la cuenta debe estar habilitada.
Causa
Estos síntomas pueden producirse si uno o más de las siguientes condiciones son verdaderas:
  • Un usuario o un grupo no se ha concedido el permiso de restablecer contraseñas para los objetos de equipo.

    Nota: Un usuario o un grupo no puede unir un equipo a un dominio si el usuario o grupo especificado no tiene el permiso restablecer contraseña para los objetos de equipo. Los usuarios pueden crear nuevas cuentas de equipo para el dominio sin este permiso. Pero si la cuenta de equipo ya está presente en Active Directory, recibirán el error "Acceso denegado" mensaje porque se requiere el permiso restablecer contraseña para restablecer las propiedades del objeto de equipo para el objeto de equipo existente.
  • Los usuarios han sido delega el control del grupo Operadores de cuentas o son miembros del grupo Operadores de cuentas. Estos usuarios no disponen del permiso de lectura en la unidad organizativa integrada en "Equipos y usuarios de Active Directory".
Solución

Los usuarios no pueden unir un equipo a un dominio

Para resolver el problema en el que los usuarios no pueden unir un equipo a un dominio, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba dsa.mscy, a continuación, haga clic en Aceptar.
  2. En el panel de tareas, expanda el nodo del dominio.
  3. Busque y haga clic en la unidad organizativa que desea modificar y, a continuación, haga clic en Delegar Control.
  4. En el Asistente para delegación de Control, haga clic en siguiente.
  5. Haga clic en Agregar para agregar un usuario específico o un grupo específico a la lista de grupos y usuarios seleccionados y, a continuación, haga clic en siguiente.
  6. En el Tareas para delegar la página, haga clic en crear una tarea personalizada para delegary, a continuación, haga clic en siguiente.
  7. Haga clic en sólo los siguientes objetos en la carpetay, a continuación, en la lista, haga clic para seleccionar la casilla de verificación objetos de equipo . A continuación, seleccione las casillas de verificación debajo de la lista, crear los objetos seleccionados en esta carpeta y eliminar los objetos seleccionados en esta carpeta.
  8. Haga clic en siguiente.
  9. En la lista de permisos , haga clic en las casillas de verificación siguientes:
    • Restablecimiento de contraseñas
    • Leer y escribir las restricciones de cuenta
    • Escritura validada en el nombre de host DNS
    • Escritura validada en el nombre principal de servicio
  10. Haga clic en siguientey, a continuación, haga clic en Finalizar.
  11. Cierre el complemento MMC "Usuarios y equipos de Active Directory".

Los usuarios no pueden restablecer contraseñas

Para resolver el problema en el que los usuarios no pueden restablecer contraseñas, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba dsa.mscy, a continuación, haga clic en Aceptar.
  2. En el panel de tareas, expanda el nodo del dominio.
  3. Busque y haga clic en Builtiny, a continuación, haga clic en Propiedades.
  4. En el cuadro de diálogo Propiedades de Builtin , haga clic en la ficha seguridad .
  5. En la lista nombres de grupos o usuarios , haga clic en Operadores de cuentas.
  6. En permisos para operadores de cuentas, haga clic para activar la casilla de verificación Permitir para el permiso de lectura y, a continuación, haga clic en Aceptar.

    Nota: Si desea utilizar un grupo o un usuario que no sea el grupo de operadores de cuentas, repita los pasos 5 y 6 para ese grupo o usuario.
  7. Cierre el complemento MMC "Usuarios y equipos de Active Directory".

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 932455 - Última revisión: 03/15/2015 04:56:00 - Revisión: 3.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Standard, Windows Server 2008 Enterprise

  • kbexpertiseadvanced kbtshoot kbmt KB932455 KbMtes
Comentarios