Errore: l'accesso viene negato quando gli utenti non amministratori che hanno ricevuto il controllo delegato tentano di aggiungere computer a un controller di dominio

  • Articolo

Questo articolo fornisce una soluzione a un messaggio di errore quando gli utenti non amministratori che hanno ricevuto il controllo delegato tentano di aggiungere computer a un controller di dominio.

Si applica a: Windows Server 2012 R2
Numero KB originale: 932455

Sintomi

In un controller di dominio, gli utenti non amministratori possono riscontrare uno o più dei sintomi seguenti:

  • Dopo aver fornito a un utente specifico o a un gruppo specifico l'autorizzazione per aggiungere o rimuovere oggetti computer al dominio in un'unità organizzativa tramite la Delega guidata, gli utenti non possono aggiungere alcuni computer al dominio. Quando l'utente tenta di aggiungere un computer a un dominio, gli utenti possono ricevere il messaggio di errore seguente:

    Accesso negato.

    Nota

    Gli amministratori possono aggiungere computer al dominio senza problemi.

  • Gli utenti membri del gruppo Operatori account o che hanno ricevuto il controllo delegato non possono creare nuovi account utente o reimpostare le password quando accedono in locale o quando accedono tramite Desktop remoto al controller di dominio.

    Quando gli utenti provano a reimpostare una password, potrebbero ricevere il messaggio di errore seguente:

    Impossibile completare la modifica della password per il nome utente . Accesso negato.

    Quando gli utenti provano a creare un nuovo account utente, ricevono il messaggio di errore seguente:

    La password per il nome utente non può essere impostata a causa di privilegi insufficienti, Windows tenterà di disabilitare questo account. Se questo tentativo non riesce, l'account diventerà un rischio per la sicurezza. Contattare un amministratore il prima possibile per ripristinare questa funzionalità. Prima che l'utente possa accedere, è necessario impostare la password e abilitare l'account.

Causa

Questi sintomi possono verificarsi se si verifica una o più delle condizioni seguenti:

  • A un utente o a un gruppo non è stata concessa l'autorizzazione Reimposta password per gli oggetti computer.

    Nota

    Un utente o un gruppo non può aggiungere un computer a un dominio se l'utente specificato o il gruppo specificato non dispone dell'autorizzazione Reimposta password impostata per gli oggetti computer. Gli utenti possono creare nuovi account computer per il dominio senza questa autorizzazione. Tuttavia, se l'account computer è già presente in Active Directory, riceverà il messaggio di errore "Accesso negato" perché è necessaria l'autorizzazione Reimposta password per reimpostare le proprietà dell'oggetto computer per l'oggetto computer esistente.

  • Gli utenti hanno ricevuto il controllo delegato del gruppo Account Operators o sono membri del gruppo Account Operators. A questi utenti non è stata concessa l'autorizzazione lettura per l'unità organizzativa predefinita in "Utenti e computer di Active Directory".

Risoluzione

Per risolvere il problema in cui gli utenti non possono aggiungere un computer a un dominio, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare dsa.msc e quindi selezionare OK.
  2. Nel riquadro attività espandere il nodo di dominio.
  3. Individuare e fare clic con il pulsante destro del mouse sull'unità organizzativa da modificare e quindi selezionare Delega controllo.
  4. Nella Delega guidata controllo selezionare Avanti.
  5. Selezionare Aggiungi per aggiungere un utente specifico o un gruppo specifico all'elenco Utenti e gruppi selezionati e quindi selezionare Avanti.
  6. Nella pagina Attività da delegare selezionare Crea un'attività personalizzata da delegare e quindi selezionare Avanti.
  7. Selezionare Solo gli oggetti seguenti nella cartella e quindi nell'elenco fare clic per selezionare la casella di controllo Oggetti computer . Selezionare quindi le caselle di controllo sotto l'elenco , Crea oggetti selezionati in questa cartella e Elimina oggetti selezionati in questa cartella.
  8. Selezionare Avanti.
  9. Nell'elenco Autorizzazioni fare clic per selezionare le caselle di controllo seguenti:
    • Reimpostare la password
    • Restrizioni dell'account di lettura e scrittura
    • Scrittura convalidata nel nome host DNS
    • Scrittura convalidata nel nome dell'entità servizio
  10. Selezionare Avanti e quindi Fine.
  11. Chiudere lo snap-in MMC "Utenti e computer di Active Directory".

Per risolvere il problema per cui gli utenti non possono reimpostare le password, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare dsa.msc e quindi selezionare OK.

  2. Nel riquadro attività espandere il nodo di dominio.

  3. Individuare e fare clic con il pulsante destro del mouse su Builtin e quindi scegliere Proprietà.

  4. Nella finestra di dialogo Proprietà predefinite selezionare la scheda Sicurezza .

  5. Nell'elenco Nomi di gruppo o utente selezionare Operatori account.

  6. In Autorizzazioni per gli operatori account fare clic per selezionare la casella di controllo Consenti per l'autorizzazione lettura e quindi selezionare OK.

    Nota

    Se si vuole usare un gruppo o un utente diverso dal gruppo Account Operators, ripetere i passaggi 5 e 6 per tale gruppo o tale utente.

  7. Chiudere lo snap-in MMC "Utenti e computer di Active Directory".