Recibirá errores de acceso denegado después de iniciar sesión en una cuenta de dominio de administrador local.

  • Artículo

Este artículo ayuda a resolver los errores de acceso denegado que se producen después de iniciar sesión en una cuenta de dominio de administrador local.

Se aplica a: Windows Server 2019, Windows Server 2016
Número de KB original: 2738746

Síntomas

Imagine la siguiente situación:

  • Crea una cuenta de administrador local en un equipo que ejecuta Windows Server 2003 o posterior.
  • Inicie sesión con la cuenta de administrador local en lugar de la cuenta de administrador integrada y, a continuación, configure el servidor para que sea el primer controlador de dominio en un nuevo dominio o bosque. Como se esperaba, esta cuenta local se convierte en una cuenta de dominio.
  • Use esta cuenta de dominio para iniciar sesión.
  • Intenta realizar varias operaciones de Servicios de dominio de Active Directory (AD DS).

En este escenario, recibirá errores de acceso denegado.

Causa

Al configurar el primer controlador de dominio en un bosque o un nuevo dominio, la cuenta local del usuario se convierte en una entidad de seguridad de dominio y se agrega a grupos integrados de dominio coincidentes, como usuarios y administradores. Dado que no hay administradores de esquemas locales integrados, administradores de dominio o grupos de administradores de empresa, estas pertenencias no se actualizan en los grupos de dominio y no se agregan al grupo Administradores de dominio.

Solución alternativa

Para solucionar este comportamiento, use Dsa.msc, Dsac.exe o el módulo de Windows PowerShell de Active Directory para agregar el usuario a los grupos Administradores de dominio y Administradores de empresa según sea necesario. No se recomienda agregar el usuario al grupo Administradores de esquema a menos que esté realizando actualmente una actualización o modificación del esquema.

Después de cerrar la sesión y volver a iniciar sesión, los cambios de pertenencia a grupos surtirán efecto.

Más información

Este comportamiento se espera y es por diseño.

Aunque este comportamiento siempre ha estado presente en AD DS, los procedimientos de seguridad mejorados en las redes empresariales han expuesto el comportamiento a los clientes que siguen los procedimientos recomendados de Microsoft para usar la cuenta de administrador integrada.

La cuenta de administrador integrada se asegura de que al menos un usuario tenga una pertenencia completa a grupos administrativos en un nuevo bosque.