エラー: 制御が委任された管理者以外のユーザーがコンピューターをドメイン コントローラーに参加しようとすると、アクセスが拒否されます

この記事では、制御を委任された管理者以外のユーザーがコンピューターをドメイン コントローラーに参加しようとするときのエラー メッセージの解決策を示します。

適用対象: Windows Server 2012 R2
元の KB 番号: 932455

現象

ドメイン コントローラーでは、管理者以外のユーザーに次の 1 つ以上の現象が発生する可能性があります。

  • 特定のユーザーまたは特定のグループに、委任ウィザードを使用して組織単位 (OU) のドメインに対するコンピューター オブジェクトを追加または削除するアクセス許可が付与された後、ユーザーは一部のコンピューターをドメインに追加できません。 ユーザーがコンピューターをドメインに参加しようとすると、次のエラー メッセージが表示されることがあります。

    アクセスが拒否されました。

    注:

    管理者は、問題なくコンピューターをドメインに参加させることができます。

  • Account Operators グループのメンバーまたは委任されたコントロールを持つユーザーは、ローカルでサインインするとき、またはリモート デスクトップを使用してドメイン コントローラーにサインインするときに、新しいユーザー アカウントを作成したり、パスワードをリセットしたりすることはできません。

    ユーザーがパスワードをリセットしようとすると、次のエラー メッセージが表示されることがあります。

    Windows では、 ユーザー名 のパスワードの変更を完了できません。アクセスが拒否されているためです。

    ユーザーが新しいユーザー アカウントを作成しようとすると、次のエラー メッセージが表示されます。

    特権が不足しているため、ユーザー名のパスワードを設定できません。Windows はこのアカウントを無効にしようとします。 この試行が失敗した場合、アカウントはセキュリティ リスクになります。 これを修復するには、できるだけ早く管理者に問い合わせてください。 このユーザーがログオンする前に、パスワードを設定し、アカウントを有効にする必要があります。

原因

これらの症状は、次の条件の 1 つ以上が当てはまる場合に発生する可能性があります。

  • ユーザーまたはグループに、コンピューター オブジェクトの [パスワードのリセット] アクセス許可が付与されていません。

    注:

    指定したユーザーまたは指定したグループにコンピューター オブジェクトのパスワードのリセットアクセス許可が設定されていない場合、ユーザーまたはグループはコンピューターをドメインに参加できません。 ユーザーは、このアクセス許可なしでドメインの新しいコンピューター アカウントを作成できます。 ただし、コンピューター アカウントが Active Directory に既に存在する場合は、既存のコンピューター オブジェクトのコンピューター オブジェクトのプロパティをリセットするためにパスワードのリセットアクセス許可が必要であるため、"アクセスが拒否されました" というエラー メッセージが表示されます。

  • ユーザーは、Account Operators グループの委任された制御を受けているか、アカウントオペレーター グループのメンバーです。 これらのユーザーには、"Active Directory ユーザーとコンピューター" の組み込み OU に対する読み取りアクセス許可が付与されていません。

解決方法

ユーザーがコンピューターをドメインに参加できない問題を解決するには、次の手順に従います。

  1. [ スタート] を選択し、[ 実行] を選択し、「 dsa.msc」と入力して、[ OK] を選択します
  2. 作業ウィンドウで、ドメイン ノードを展開します。
  3. 変更する OU を見つけて右クリックし、[ 委任コントロール] を選択します。
  4. コントロールの委任ウィザードで、[ 次へ] を選択します。
  5. [ 追加] を選択して、特定のユーザーまたは特定のグループを [選択したユーザーとグループ ] の一覧に追加し、[ 次へ] を選択します。
  6. [ 委任するタスク ] ページで、[ 委任するカスタム タスクの作成] を選択し、[ 次へ] を選択します。
  7. フォルダー内の次のオブジェクトのみを選択し、一覧から [コンピューター オブジェクトチェック] ボックスをクリックして選択します。 次に、一覧の下にある [選択したオブジェクトをこのフォルダーに作成する] ボックスと [このフォルダー内の選択したオブジェクトを削除する] の下にある [チェック] ボックスを選択します
  8. [次へ] を選択します。
  9. [アクセス許可] ボックスの一覧で、次のチェック ボックスをクリックして選択します。
    • パスワードのリセット
    • アカウントの読み取りと書き込みの制限
    • DNS ホスト名への検証済み書き込み
    • 検証済みのサービス プリンシパル名への書き込み
  10. [ 次へ] を選択し、[完了] を選択 します
  11. "Active Directory ユーザーとコンピューター" MMC スナップインを閉じます。

ユーザーがパスワードをリセットできない問題を解決するには、次の手順に従います。

  1. [ スタート] を選択し、[ 実行] を選択し、「 dsa.msc」と入力して、[ OK] を選択します

  2. 作業ウィンドウで、ドメイン ノードを展開します。

  3. [ 組み込み] を見つけて右クリックし、[ プロパティ] を選択します。

  4. [ 組み込みプロパティ ] ダイアログ ボックスで、[ セキュリティ ] タブを選択します。

  5. [ グループ名またはユーザー名 ] の一覧で、[ アカウント演算子] を選択します。

  6. [アカウントオペレーターのアクセス許可] で、[読み取り] アクセス許可の [チェックを許可する] ボックスをクリックして選択し、[OK] を選択します

    注:

    Account Operators グループ以外のグループまたはユーザーを使用する場合は、そのグループまたはそのユーザーに対して手順 5 と 6 を繰り返します。

  7. "Active Directory ユーザーとコンピューター" MMC スナップインを閉じます。