現在オフラインです。再接続するためにインターネットの接続を待っています

委任コントロールをしている管理者以外のユーザーがコンピューターを Windows Server 2003 ベースまたは Windows Server 2008 ベースのドメイン コント ローラーに参加しようとしたときに、エラー メッセージ:「アクセスが拒否されました"

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:932455
現象
Microsoft Windows Server 2003 ベースまたは Windows Server 2008 ベースのドメイン コント ローラーで管理者以外のユーザーが、次の現象の 1 つ以上発生あります。
  • 後、特定のユーザーまたは特定のグループ、アクセス許可を追加するか、委任ウィザードでは、組織単位 (OU) には、ドメインにコンピューター オブジェクトを削除するには、ユーザーは一部のコンピューターをドメインに追加できません。ユーザーがコンピューターをドメインに参加しようとすると、ユーザー、次のエラー メッセージが表示される場合があります。
    アクセスが拒否されました。
    注: <b> 管理者は、コンピューターは問題なくドメインに参加できます。
  • ユーザーは、アカウント オペレーター グループのメンバーまたは委任制御されているが新しいユーザー アカウントを作成または、またはローカルにログオンするときに、ドメイン コント ローラーにターミナル サービスを通したログオン時にパスワードをリセットできません。

    ユーザー パスワードをリセットするは、次のエラー メッセージが表示可能性があります。
    Windows のパスワードの変更を完了できません。 ユーザー名 : アクセスが拒否されました。
    ユーザーが新しいユーザー アカウントを作成しようとすると、次のエラー メッセージが表示されます。
    特権が不十分なため、ユーザー名のパスワードを設定できません、Windows がこのアカウントを無効にすることを試みる。この試行が失敗した場合は、アカウントがセキュリティ上のリスクになります。これを修復するには、できるだけ早く管理者に問い合わせてください。このユーザーがログオンする前にパスワードを設定する必要があり、アカウントを有効にする必要があります。
原因
1 つの場合は、これらの現象が発生するまたは複数、次の条件に該当します。
  • ユーザーまたはグループは許可しますされていません、コンピューター オブジェクトのパスワードのリセットのアクセス許可。

    注: <b> ユーザーまたはグループに参加できません、コンピューター ドメインに指定したユーザーまたは指定したグループが、パスワードのリセットのアクセス許可セットのコンピューター オブジェクト。ユーザーは、このアクセス許可は、ドメインに新しいコンピューター アカウントを作成できます。「アクセスが拒否されました」エラーが表示されますが、コンピューター アカウントが既に Active Directory に存在、する場合は、パスワードのリセットのアクセス許可は、既存のコンピューター オブジェクトのコンピューター オブジェクトのプロパティをリセットする必要があるために、メッセージします。
  • ユーザーは、Account Operators グループの制御を委任されているまたは Account Operators グループのメンバーであります。これらのユーザーが"Active Directory ユーザーとコンピューター] では、組み込みの OU の読み取りアクセス許可が与えられていません。
解決方法

ユーザーがコンピューターをドメインに参加できません。

ユーザーがドメインにコンピューターを参加できません、問題を解決するのには以下の手順を実行します。
  1. [スタート] ボタンを実行] をクリックして、 dsa.mscと入力し [ OK] をクリックします。
  2. 作業ウィンドウで、ドメイン ノードを展開します。
  3. 変更する OU を右クリックし、[制御の委任] をクリックします。
  4. 委任のコントロール ウィザードで、のようにクリックします。
  5. 選択されたユーザーとグループの一覧に、特定のユーザーまたは特定のグループを追加する追加] をクリックし、[次へ] をクリックします。
  6. で、 委任するタスク委任するカスタム タスクを作成する] をクリックして、[次へ] をクリックします。
  7. フォルダー内の次のオブジェクトのみ] をクリックし、ボックスの一覧から、[コンピューター オブジェクト] チェック ボックスを選択する] をクリックします。次に、チェック ボックス リストは、このフォルダーで選択したオブジェクトを作成し、このフォルダーで選択したオブジェクトを削除を選択します。
  8. [次へ] をクリックします。
  9. アクセス許可の一覧には、次のチェック ボックスをオンをクリックします。
    • パスワードのリセット
    • 読み取りおよび書き込みのアカウントの制限
    • DNS ホスト名への検証された書き込み
    • サービス プリンシパル名への検証された書き込み
  10. [次へ] をクリックし、[完了] をクリックします。
  11. 「Active Directory ユーザーとコンピューター」MMC スナップインを閉じます。

ユーザーがパスワードをリセットできません。

ユーザーがパスワードをリセットすることはできません、問題を解決するのには以下の手順を実行します。
  1. [スタート] ボタンを実行] をクリックして、 dsa.mscと入力し [ OK] をクリックします。
  2. 作業ウィンドウで、ドメイン ノードを展開します。
  3. 組み込みコマンドを右クリックし、[プロパティ] をクリックします。
  4. 組み込みのプロパティ] ダイアログ ボックスで、[セキュリティ] タブをクリックします。
  5. グループ名またはユーザー名] ボックスの一覧で、アカウント オペレーターをクリックします。
  6. [ Account Operators のアクセス許可読み取りのアクセス許可の [許可] チェック ボックスをオンにし、[ OK] をクリックします。

    注: <b> グループまたはアカウント オペレーター グループ以外のユーザーを使用する場合は、そのグループまたはユーザーの手順 5 と 6 を繰り返します。
  7. 「Active Directory ユーザーとコンピューター」MMC スナップインを閉じます。

警告: この記事は自動翻訳されています

プロパティ

文書番号:932455 - 最終更新日: 03/15/2015 06:18:00 - リビジョン: 5.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Windows Server 2008 Standard, Windows Server 2008 Enterprise

  • kbexpertiseadvanced kbtshoot kbmt KB932455 KbMtja
フィードバック