Quando executar o Dcpromo.exe para criar um controlador de domínio de réplica, receberá o "Falha de modificar as propriedades necessárias para a conta de máquina. Acesso negado"mensagem de erro

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 232070
Sintomas
Quando executar o Dcpromo.exe para criar um controlador de domínio de réplica, recebe uma das seguintes mensagens de erro no Dcpromo.exe:
Mensagem de erro 1
Falha ao modificar as propriedades necessárias para a conta de máquina. O acesso é negado.
Mensagem de erro 2
Erro - O Assistente de instalação do Active Directory não conseguiu converter o $ < Nome do Computador > conta de computador para uma conta de controlador de domínio. (5)

Exame do ficheiro Dcpromoui.log indica que a parte inicial da promoção teve êxito (isto é também verificado porque o computador torna-se um servidor membro num domínio), mas que a promoção a controlador de domínio não foi bem sucedida porque Dcpromo.exe não foi possível modificar a conta de computador.
Causa
Este problema pode ocorrer se a conta que é utilizada para a operação de promoção não foi atribuída o direito "Privilégios de delegação". Ou, se tiver sido atribuído este direito, a política tem não propagada ainda, possivelmente devido a latência de replicação. Por predefinição, apenas os membros do grupo Administradores têm "Privilégios de delegação" à direita.
Resolução
Para resolver este problema, utilize uma conta no grupo Administradores ou adicionar a conta apropriada ao grupo de administradores. Para conceder este direito para outro utilizador ou grupo, defina o privilégio de delegação no objecto de política de grupo:
  1. No snap-in computadores e utilizadores do Active Directory, edite a Política predefinida de controladores de domínio na Unidade organizacional de controladores de domínio.
  2. Faça duplo clique em Configuração do computador, clique em Definições do Windows, clique em Definições de segurança, clique em Políticas locais e, em seguida, clique em Atribuição de direitos de utilizadores.
  3. Em Activar computador e contas de utilizador seja fidedigno para delegação, adicione a conta apropriada ou grupo.
  4. Aplicar a política utilizando um dos seguintes métodos:
    • Se for um controlador de domínio do Windows 2000, abra uma linha de comandos e, em seguida, escreva:
      secedit /refreshpolicy machine_policy /enforce
    • Se for um Windows Server 2003 ou um controlador de domínio do Windows Server 2008, abra uma linha de comandos e escreva:
      gpupdate /force
  5. Force a replicação do controlador de domínio no qual a política foi alterada para outros controladores de domínio no domínio utilizando repadmin, replmon, ou locais do Active Directory e serviços.
Para aplicar a política actualizada, reinicie o servidor problemático que pretender promover como um controlador de domínio.
Ponto Da Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais Informação
O ficheiro Dcpromoui.log comunica um erro semelhante à mostrada abaixo. No exemplo seguinte, um controlador de domínio da réplica/cópia de segurança está a tentar ser instalado:
dcpromoui t:0x490 00685    Exit  doProgressLoop dcpromoui t:0x490 00686    Exit  DS::CreateReplica dcpromoui t:0x490 00687    Exception caught dcpromoui t:0x490 00688    catch completed dcpromoui t:0x490 00689    handling exception dcpromoui t:0x490 00690    Active Directory Installation Failed dcpromoui t:0x490 00691    Enter GetErrorMessage 80070005 dcpromoui t:0x490 00692    Exit  GetErrorMessage 80070005 dcpromoui t:0x490 00693    Access is denied. 
mais para baixo no registo, o texto que se segue aparece
Failed to modify the necessary properties for the machine account MYDC$"Access is denied. " 
seguem é exemplo Dcpromoui.log saída de um computador que esteja a executar o Windows 2000 Service Pack 4 (SP4):
09/12 09:33:14 [INFO] Error - The Active Directory Installation Wizard was unable to convert the computer account <machinename>$ to a domain controller account. (5) 09/12 09:33:15 [INFO] NtdsInstall for <domainname> returned 5 09/12 09:33:15 [INFO] DsRolepInstallDs returned 5 09/12 09:33:15 [ERROR] Failed to install to Directory Service (5)

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 232070 - Última Revisão: 09/11/2009 21:12:16 - Revisão: 7.1

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008

  • kbmt kbenv kbprb KB232070 KbMtpt
Comentários