Message d’erreur lorsque vous essaient de joindre des ordinateurs à un contrôleur de domaine Windows Server 2008 ou de Windows Server 2003-based les utilisateurs non-administrateurs qui ont été déléguée contrôle : « Accès refusé »

Symptômes

Sur un serveur Microsoft Windows Server 2003 ou un contrôleur de domaine Windows Server 2008, les utilisateurs non-administrateurs peuvent rencontrer un ou plusieurs des problèmes suivants :
  • Après qu’un utilisateur spécifique ou un groupe spécifique est fourni avec l’autorisation d’ajouter ou de supprimer des objets ordinateur sur le domaine sur une unité d’organisation (OU) par l’intermédiaire de l’Assistant Délégation, les utilisateurs ne peuvent pas ajouter certains ordinateurs au domaine. Lorsque l’utilisateur tente de joindre un ordinateur à un domaine, les utilisateurs peuvent recevoir le message d’erreur suivant :
    L'accès est refusé.
    Remarque Les administrateurs peuvent joindre des ordinateurs au domaine sans aucun problème.
  • Les utilisateurs qui sont membres du groupe Opérateurs de compte ou qui ont été déléguées de contrôle ne peut pas créer de nouveaux comptes d’utilisateur ou réinitialiser des mots de passe lorsqu’ils ouvrent une session localement, ou lorsqu’ils se connectent par le biais des services Terminal Server pour le contrôleur de domaine.

    Lorsque les utilisateurs tentent de réinitialiser un mot de passe, ils peuvent recevoir le message d’erreur suivant :
    Windows ne peut pas terminer la modification du mot de passe pour le nom d’utilisateur car : l’accès est refusé.
    Lorsque les utilisateurs tentent de créer un nouveau compte d’utilisateur, le message d’erreur suivant s’affiche :

    Le mot de passe pour le nom d’utilisateur ne peut pas être définie en raison de privilèges insuffisants, Windows va tenter de désactiver ce compte. Si cette tentative échoue, le compte devient un risque de sécurité. Contactez un administrateur dès que possible pour régler ce problème. Avant que cet utilisateur peut ouvrir une session, le mot de passe doit être défini, et le compte doit être activé.

Cause

Ces symptômes peuvent se produire si une ou plusieurs des conditions suivantes sont remplies :
  • Un utilisateur ou un groupe n’a pas reçu l’autorisation de réinitialiser les mots de passe pour les objets ordinateur.

    Remarque Un utilisateur ou un groupe ne peut pas joindre un ordinateur à un domaine, si l’utilisateur ou le groupe spécifié n’a pas l’autorisation de réinitialiser le mot de passe définie pour les objets ordinateur. Les utilisateurs peuvent créer des comptes d’ordinateur pour le domaine sans cette autorisation. Mais si le compte d’ordinateur est déjà présent dans Active Directory, ils recevront l’erreur « Accès refusé » message, car l’autorisation Réinitialiser le mot de passe est requis pour réinitialiser les propriétés de l’objet ordinateur pour l’objet ordinateur existant.
  • Les utilisateurs ont un contrôle délégué du groupe Opérateurs de compte ou sont membres du groupe Opérateurs de compte. Ces utilisateurs n’ont pas reçus l’autorisation de lecture sur l’unité d’organisation intégrée dans « Ordinateurs et utilisateurs Active Directory ».

Résolution

Les utilisateurs ne peuvent pas joindre un ordinateur à un domaine

Pour résoudre le problème dans lequel les utilisateurs ne peuvent pas joindre un ordinateur à un domaine, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez DSA.msc, puis cliquez sur OK.
  2. Dans le volet Office, développez le nœud du domaine.
  3. Recherchez et droit sur l’unité d’organisation que vous souhaitez modifier, puis cliquez sur Déléguer le contrôle.
  4. Dans l’Assistant Délégation de contrôle, cliquez sur suivant.
  5. Cliquez sur Ajouter pour ajouter un utilisateur ou un groupe spécifique à la liste des groupes et des utilisateurs sélectionnés , puis cliquez sur suivant.
  6. Dans la page tâches à déléguer , cliquez sur créer une tâche personnalisée à déléguer, puis cliquez sur suivant.
  7. Cliquez sur seulement des objets suivants dans le dossieret puis dans la liste, activez la case à cocher objets ordinateur . Ensuite, sélectionnez les cases à cocher sous la liste, de créer des objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier.
  8. Cliquez sur suivant.
  9. Dans la liste autorisations , activez les cases à cocher suivantes :
    • Réinitialiser le mot de passe
    • Lire et écrire des Restrictions de compte
    • Écriture validée vers le nom d’hôte DNS
    • Écriture validée vers le nom principal de service
  10. Cliquez sur suivant, puis cliquez sur Terminer.
  11. Fermez le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory ».

Les utilisateurs ne peut pas réinitialiser les mots de passe

Pour résoudre le problème dans lequel les utilisateurs ne peut pas réinitialiser les mots de passe, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez DSA.msc, puis cliquez sur OK.
  2. Dans le volet Office, développez le nœud du domaine.
  3. Recherchez et cliquez sur Builtinet puis cliquez sur Propriétés.
  4. Dans la boîte de dialogue Propriétés de Builtin , cliquez sur l’onglet sécurité .
  5. Dans la liste noms d’utilisateur ou de groupe , cliquez sur Opérateurs de compte.
  6. Sous autorisations pour les opérateurs de compte, cliquez pour sélectionner la case à cocher Autoriser pour l’autorisation de lecture , puis cliquez sur OK.



    Remarque Si vous souhaitez utiliser un groupe ou un utilisateur autre que le groupe Opérateurs de compte, répétez les étapes 5 et 6 pour ce groupe ou cet utilisateur.
  7. Fermez le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory ».
Propriétés

ID d'article : 932455 - Dernière mise à jour : 17 janv. 2017 - Révision : 2

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Standard, Windows Server 2008 Enterprise

Commentaires