Error: El acceso se deniega cuando los usuarios que no son administradores que han sido delegados intentan unir equipos a un controlador de dominio
En este artículo se proporciona una solución a un mensaje de error cuando los usuarios que no son administradores a los que se les ha delegado el control intentan unir equipos a un controlador de dominio.
Se aplica a: Windows Server 2012 R2
Número de KB original: 932455
Síntomas
En un controlador de dominio, los usuarios que no son administradores pueden experimentar uno o varios de los síntomas siguientes:
Una vez que se proporciona a un usuario específico o a un grupo específico el permiso para agregar o quitar objetos de equipo al dominio en una unidad organizativa (OU) a través del Asistente para delegación, los usuarios no pueden agregar algunos de los equipos al dominio. Cuando el usuario intenta unir un equipo a un dominio, los usuarios pueden recibir el siguiente mensaje de error:
Acceso denegado.
Nota:
Los administradores pueden unir equipos al dominio sin problemas.
Los usuarios que son miembros del grupo Operadores de cuenta o que tienen control delegado no pueden crear nuevas cuentas de usuario ni restablecer contraseñas cuando inician sesión localmente o cuando inician sesión a través de Escritorio remoto en el controlador de dominio.
Cuando los usuarios intentan restablecer una contraseña, pueden recibir el siguiente mensaje de error:
Windows no puede completar el cambio de contraseña del nombre de usuario porque: Se deniega el acceso.
Cuando los usuarios intentan crear una nueva cuenta de usuario, reciben el siguiente mensaje de error:
La contraseña del nombre de usuario no se puede establecer debido a privilegios insuficientes, Windows intentará deshabilitar esta cuenta. Si se produce un error en este intento, la cuenta se convertirá en un riesgo de seguridad. Póngase en contacto con un administrador lo antes posible para repararlo. Antes de que este usuario pueda iniciar sesión, se debe establecer la contraseña y la cuenta debe estar habilitada.
Causa
Estos síntomas pueden ocurrir si se cumplen una o varias de las condiciones siguientes:
A un usuario o grupo no se le ha concedido el permiso Restablecer contraseñas para los objetos de equipo.
Nota:
Un usuario o un grupo no pueden unir un equipo a un dominio si el usuario especificado o el grupo especificado no tienen establecido el permiso Restablecer contraseña para los objetos de equipo. Los usuarios pueden crear nuevas cuentas de equipo para el dominio sin este permiso. Pero si la cuenta de equipo ya está presente en Active Directory, recibirá el mensaje de error "Acceso denegado" porque se requiere el permiso Restablecer contraseña para restablecer las propiedades del objeto de equipo para el objeto de equipo existente.
A los usuarios se les ha delegado el control del grupo Operadores de cuenta o son miembros del grupo Operadores de cuenta. A estos usuarios no se les ha concedido el permiso De lectura en la unidad organizativa integrada en "Usuarios y equipos de Active Directory".
Solución
Para resolver el problema en el que los usuarios no pueden unir un equipo a un dominio, siga estos pasos:
- Seleccione Inicio, ejecutar, escriba dsa.msc y, a continuación, seleccione Aceptar.
- En el panel de tareas, expanda el nodo de dominio.
- Busque y haga clic con el botón derecho en la unidad organizativa que desea modificar y, a continuación, seleccione Delegar control.
- En el Asistente para delegación de controles, seleccione Siguiente.
- Seleccione Agregar para agregar un usuario específico o un grupo específico a la lista Usuarios y grupos seleccionados y, a continuación, seleccione Siguiente.
- En la página Tareas para delegar , seleccione Crear una tarea personalizada para delegar y, a continuación, seleccione Siguiente.
- Seleccione Solo los siguientes objetos de la carpeta y, a continuación, en la lista, haga clic para activar la casilla Objetos de equipo . A continuación, active las casillas situadas debajo de la lista, Crear objetos seleccionados en esta carpeta y Eliminar objetos seleccionados en esta carpeta.
- Seleccione Siguiente.
- En la lista Permisos , haga clic para activar las siguientes casillas:
- Restablecer contraseña
- Restricciones de cuenta de lectura y escritura
- Escritura validada en el nombre de host DNS
- Escritura validada en el nombre de la entidad de servicio
- Seleccione Siguiente y, a continuación, seleccione Finalizar.
- Cierre el complemento MMC "Usuarios y equipos de Active Directory".
Para resolver el problema en el que los usuarios no pueden restablecer contraseñas, siga estos pasos:
Seleccione Inicio, ejecutar, escriba dsa.msc y, a continuación, seleccione Aceptar.
En el panel de tareas, expanda el nodo de dominio.
Busque y haga clic con el botón derecho en Builtin y, a continuación, seleccione Propiedades.
En el cuadro de diálogo Propiedades integradas , seleccione la pestaña Seguridad .
En la lista Nombres de grupo o de usuario , seleccione Operadores de cuenta.
En Permisos para operadores de cuenta, haga clic para activar la casilla Permitir del permiso De lectura y, a continuación, seleccione Aceptar.
Nota:
Si desea usar un grupo o un usuario distinto del grupo Operadores de cuenta, repita los pasos 5 y 6 para ese grupo o ese usuario.
Cierre el complemento MMC "Usuarios y equipos de Active Directory".
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de