Erreur : L’accès est refusé lorsque des utilisateurs non administrateurs qui ont été délégués au contrôle tentent de joindre des ordinateurs à un contrôleur de domaine
Cet article fournit une solution à un message d’erreur lorsque des utilisateurs non administrateurs qui ont été délégués au contrôle tentent de joindre des ordinateurs à un contrôleur de domaine.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 932455
Symptômes
Sur un contrôleur de domaine, les utilisateurs non administrateurs peuvent rencontrer un ou plusieurs des symptômes suivants :
Une fois qu’un utilisateur spécifique ou un groupe spécifique a reçu l’autorisation d’ajouter ou de supprimer des objets ordinateur dans le domaine sur une unité d’organisation (UO) via l’Assistant Délégation, les utilisateurs ne peuvent pas ajouter certains ordinateurs au domaine. Lorsque l’utilisateur tente de joindre un ordinateur à un domaine, les utilisateurs peuvent recevoir le message d’erreur suivant :
L’accès est refusé.
Remarque
Les administrateurs peuvent joindre des ordinateurs au domaine sans aucun problème.
Les utilisateurs qui sont membres du groupe Opérateurs de compte ou qui ont été délégués au contrôle ne peuvent pas créer de comptes d’utilisateur ou réinitialiser les mots de passe lorsqu’ils se connectent localement ou lorsqu’ils se connectent via le Bureau à distance au contrôleur de domaine.
Lorsque les utilisateurs essaient de réinitialiser un mot de passe, ils peuvent recevoir le message d’erreur suivant :
Windows ne peut pas effectuer la modification du mot de passe pour le nom d’utilisateur , car l’accès est refusé.
Lorsque les utilisateurs essaient de créer un compte d’utilisateur, ils reçoivent le message d’erreur suivant :
Le mot de passe du nom d’utilisateur ne peut pas être défini en raison de privilèges insuffisants. Windows tente de désactiver ce compte. Si cette tentative échoue, le compte devient un risque pour la sécurité. Contactez un administrateur dès que possible pour réparer ce problème. Avant que cet utilisateur puisse se connecter, le mot de passe doit être défini et le compte doit être activé.
Cause
Ces symptômes peuvent se produire si une ou plusieurs des conditions suivantes sont remplies :
Un utilisateur ou un groupe n’a pas reçu l’autorisation Réinitialiser les mots de passe pour les objets d’ordinateur.
Remarque
Un utilisateur ou un groupe ne peut pas joindre un ordinateur à un domaine si l’utilisateur ou le groupe spécifié n’a pas l’autorisation Réinitialiser le mot de passe définie pour les objets ordinateur. Les utilisateurs peuvent créer des comptes d’ordinateur pour le domaine sans cette autorisation. Toutefois, si le compte d’ordinateur est déjà présent dans Active Directory, il reçoit le message d’erreur « L’accès est refusé », car l’autorisation Réinitialiser le mot de passe est nécessaire pour réinitialiser les propriétés de l’objet ordinateur pour l’objet ordinateur existant.
Les utilisateurs ont été délégués au contrôle du groupe Opérateurs de compte ou sont membres du groupe Opérateurs de compte. Ces utilisateurs n’ont pas reçu l’autorisation lecture sur l’unité d’organisation intégrée dans « Utilisateurs et ordinateurs Active Directory ».
Résolution
Pour résoudre le problème dans lequel les utilisateurs ne peuvent pas joindre un ordinateur à un domaine, procédez comme suit :
- Sélectionnez Démarrer, Exécuter, tapez dsa.msc, puis sélectionnez OK.
- Dans le volet Office, développez le nœud de domaine.
- Recherchez et cliquez avec le bouton droit sur l’unité d’organisation que vous souhaitez modifier, puis sélectionnez Déléguer le contrôle.
- Dans l’Assistant Délégation de contrôle, sélectionnez Suivant.
- Sélectionnez Ajouter pour ajouter un utilisateur spécifique ou un groupe spécifique à la liste Utilisateurs et groupes sélectionnés , puis sélectionnez Suivant.
- Dans la page Tâches à déléguer , sélectionnez Créer une tâche personnalisée à déléguer, puis sélectionnez Suivant.
- Sélectionnez Uniquement les objets suivants dans le dossier, puis, dans la liste, cliquez pour sélectionner la zone Objets ordinateur case activée. Ensuite, sélectionnez les zones case activée sous la liste, Créer des objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier.
- Sélectionnez Suivant.
- Dans la liste Autorisations, cliquez pour sélectionner les zones case activée suivantes :
- Réinitialiser le mot de passe
- Restrictions de compte en lecture et en écriture
- Écriture validée dans le nom d’hôte DNS
- Écriture validée dans le nom du principal de service
- Sélectionnez Suivant, puis Terminer.
- Fermez le composant logiciel enfichable MMC « Utilisateurs et ordinateurs Active Directory ».
Pour résoudre le problème dans lequel les utilisateurs ne peuvent pas réinitialiser les mots de passe, procédez comme suit :
Sélectionnez Démarrer, Exécuter, tapez dsa.msc, puis sélectionnez OK.
Dans le volet Office, développez le nœud de domaine.
Recherchez et cliquez avec le bouton droit sur Intégré, puis sélectionnez Propriétés.
Dans la boîte de dialogue Propriétés intégrées , sélectionnez l’onglet Sécurité .
Dans la liste Noms de groupe ou d’utilisateur , sélectionnez Opérateurs de compte.
Sous Autorisations pour les opérateurs de compte, sélectionnez la zone Autoriser case activée pour l’autorisation Lecture, puis sélectionnez OK.
Remarque
Si vous souhaitez utiliser un groupe ou un utilisateur autre que le groupe Opérateurs de compte, répétez les étapes 5 et 6 pour ce groupe ou cet utilisateur.
Fermez le composant logiciel enfichable MMC « Utilisateurs et ordinateurs Active Directory ».
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour