Fehler: Der Zugriff wird verweigert, wenn Benutzer ohne Administratorrechte, die die Steuerung delegiert haben, versuchen, Computer mit einem Domänencontroller zu verbinden.

  • Artikel

Dieser Artikel bietet eine Lösung für eine Fehlermeldung, wenn Nicht-Administratorbenutzer, die die Steuerung delegiert haben, versuchen, Computer mit einem Domänencontroller zu verbinden.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 932455

Symptome

Auf einem Domänencontroller treten bei Nicht-Administratorbenutzern möglicherweise eines oder mehrere der folgenden Symptome auf:

  • Nachdem einem bestimmten Benutzer oder einer bestimmten Gruppe die Berechtigung zum Hinzufügen oder Entfernen von Computerobjekten zur Domäne in einer Organisationseinheit (OE) über den Delegierungs-Assistenten erteilt wurde, können Benutzer einige der Computer nicht zur Domäne hinzufügen. Wenn der Benutzer versucht, einen Computer einer Domäne hinzuzufügen, erhalten Benutzer möglicherweise die folgende Fehlermeldung:

    Der Zugriff wurde verweigert.

    Hinweis

    Administratoren können Computer ohne Probleme in die Domäne einbinden.

  • Benutzer, die Mitglieder der Gruppe "Kontooperatoren" sind oder deren Steuerung delegiert wurde, können keine neuen Benutzerkonten erstellen oder Kennwörter zurücksetzen, wenn sie sich lokal anmelden oder sich über Remotedesktop beim Domänencontroller anmelden.

    Wenn Benutzer versuchen, ein Kennwort zurückzusetzen, erhalten sie möglicherweise die folgende Fehlermeldung:

    Windows kann die Kennwortänderung für den Benutzernamen nicht abschließen, weil der Zugriff verweigert wird.

    Wenn Benutzer versuchen, ein neues Benutzerkonto zu erstellen, erhalten sie die folgende Fehlermeldung:

    Das Kennwort für den Benutzernamen kann aufgrund unzureichender Berechtigungen nicht festgelegt werden. Windows versucht, dieses Konto zu deaktivieren. Wenn dieser Versuch fehlschlägt, wird das Konto zu einem Sicherheitsrisiko. Wenden Sie sich so bald wie möglich an einen Administrator, um dies zu reparieren. Bevor sich dieser Benutzer anmelden kann, sollte das Kennwort festgelegt werden, und das Konto muss aktiviert werden.

Ursache

Diese Symptome können auftreten, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Einem Benutzer oder einer Gruppe wurde die Berechtigung Kennwörter zurücksetzen für die Computerobjekte nicht erteilt.

    Hinweis

    Ein Benutzer oder eine Gruppe kann einen Computer nicht mit einer Domäne verbinden, wenn für den angegebenen Benutzer oder die angegebene Gruppe die Berechtigung Kennwort zurücksetzen für die Computerobjekte nicht festgelegt ist. Benutzer können ohne diese Berechtigung neue Computerkonten für die Domäne erstellen. Wenn das Computerkonto jedoch bereits in Active Directory vorhanden ist, erhalten sie die Fehlermeldung "Zugriff verweigert", da die Berechtigung Kennwort zurücksetzen erforderlich ist, um die Computerobjekteigenschaften für das vorhandene Computerobjekt zurückzusetzen.

  • Benutzern wurde die Kontrolle über die Gruppe Kontooperatoren delegiert oder sind Mitglieder der Gruppe Kontooperatoren. Diesen Benutzern wurde die Leseberechtigung für die integrierte Organisationseinheit in "Active Directory-Benutzer und -Computer" nicht erteilt.

Lösung

Führen Sie die folgenden Schritte aus, um das Problem zu beheben, dass Benutzer einen Computer nicht in eine Domäne einbinden können:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie dsa.msc ein, und wählen Sie dann OK aus.
  2. Erweitern Sie im Aufgabenbereich den Domänenknoten.
  3. Suchen Sie die Organisationseinheit , die Sie ändern möchten, und klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann Steuerung delegieren aus.
  4. Wählen Sie im Assistenten zum Delegierung von Steuerelementen die Option Weiter aus.
  5. Wählen Sie Hinzufügen aus, um der Liste Ausgewählte Benutzer und Gruppen einen bestimmten Benutzer oder eine bestimmte Gruppe hinzuzufügen, und wählen Sie dann Weiter aus.
  6. Wählen Sie auf der Seite Zu delegierende Aufgaben die Option Benutzerdefinierte Aufgabe zum Delegieren erstellen und dann Weiter aus.
  7. Wählen Sie Nur die folgenden Objekte im Ordner aus, und aktivieren Sie dann in der Liste das Kontrollkästchen Computerobjekte . Aktivieren Sie dann die Kontrollkästchen unter der Liste , Ausgewählte Objekte in diesem Ordner erstellen und Ausgewählte Objekte in diesem Ordner löschen.
  8. Wählen Sie Weiter aus.
  9. Aktivieren Sie in der Liste Berechtigungen die folgenden Kontrollkästchen:
    • Kennwort zurücksetzen
    • Kontoeinschränkungen mit Lese- und Schreibzugriff
    • Überprüfter Schreibvorgang in DNS-Hostname
    • Überprüfter Schreibvorgang in Dienstprinzipalname
  10. Wählen Sie Weiter und dann Fertig stellen aus.
  11. Schließen Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer".

Führen Sie die folgenden Schritte aus, um das Problem zu beheben, dass Benutzer Kennwörter nicht zurücksetzen können:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie dsa.msc ein, und wählen Sie dann OK aus.

  2. Erweitern Sie im Aufgabenbereich den Domänenknoten.

  3. Suchen Sie nach Integriert, klicken Sie mit der rechten Maustaste darauf, und wählen Sie dann Eigenschaften aus.

  4. Wählen Sie im Dialogfeld Integrierte Eigenschaften die Registerkarte Sicherheit aus.

  5. Wählen Sie in der Liste Gruppen- oder Benutzernamendie Option Kontooperatoren aus.

  6. Aktivieren Sie unter Berechtigungen für Kontooperatoren das Kontrollkästchen Zulassen für die Leseberechtigung , und wählen Sie dann OK aus.

    Hinweis

    Wenn Sie eine andere Gruppe oder einen anderen Benutzer als die Gruppe Kontooperatoren verwenden möchten, wiederholen Sie die Schritte 5 und 6 für diese Gruppe oder diesen Benutzer.

  7. Schließen Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer".