錯誤：當已委派控制權的非系統管理員用戶嘗試將計算機加入域控制器時，存取遭到拒絕

本文提供當已委派控制權的非系統管理員用戶嘗試將計算機加入域控制器時，錯誤訊息的解決方案。

適用：Windows Server 2012 R2
原始 KB 編號： 932455

徵狀

在域控制器上，非系統管理員使用者可能會遇到下列一或多個徵兆：

• 在透過委派精靈) ，將特定使用者或特定群組的許可權提供給組織單位 (OU 的網域新增或移除計算機對象之後，使用者就無法將部分計算機新增至網域。 當使用者嘗試將電腦加入網域時，使用者可能會收到下列錯誤訊息：

  拒絕存取。

  注意事項

  系統管理員可以將計算機加入網域，而不會有任何問題。

• 身為帳戶操作員群組成員或已委派控制權的使用者，在本機登入或透過遠端桌面登入域控制器時，無法建立新的用戶帳戶或重設密碼。

  當使用者嘗試重設密碼時，可能會收到下列錯誤訊息：

  Windows 無法完成 使用者名稱 的密碼變更，因為：拒絕存取。

  當使用者嘗試建立新的使用者帳戶時，他們會收到下列錯誤訊息：

  無法設定使用者名稱的密碼，因為許可權不足，Windows 會嘗試停用此帳戶。 如果此嘗試失敗，帳戶將會成為安全性風險。 請儘快連絡系統管理員以修復此問題。 此用戶必須先設定密碼，而且必須啟用帳戶，才能登入。

原因

如果下列一或多個條件成立，可能會發生這些徵兆：

• 使用者或群組尚未獲得計算機物件的重設密碼許可權。

  注意事項

  如果指定的使用者或指定的群組未設定計算機物件的 [重設密碼] 許可權，則使用者或群組無法將計算機加入網域。 用戶可以在沒有此許可權的情況下，為網域建立新的計算機帳戶。 但是，如果計算機帳戶已經存在於 Active Directory 中，則會收到「拒絕存取」錯誤訊息，因為需要重設密碼許可權，才能重設現有計算機對象的計算機物件屬性。

• 使用者已委派帳戶操作員群組的控制權，或是帳戶操作員群組的成員。 這些使用者尚未獲得「Active Directory 使用者和電腦」中內建 OU 的讀取許可權。

解決方案

若要解決使用者無法將電腦加入網域的問題，請遵循下列步驟：

1. 選 取 [開始]，選取 [ 執行]，輸入 dsa.msc，然後選取 [ 確定]。
2. 在工作窗格中，展開網域節點。
3. 找出並以滑鼠右鍵按下您要修改的 OU ，然後選取 [ 委派控件]。
4. 在 [委派控制精靈] 中，選取 [ 下一步]。
5. 選取 [新增 ] 將特定使用者或特定群組新增至 [ 選取的使用者和群組 ] 列表，然後選取 [ 下一步]。
6. 在 [ 要委派的工作 ] 頁面中，選取 [ 建立要委派的自定義工作]，然後選取 [ 下一步]。
7. 選 取 [僅限資料夾中的下列物件]，然後從清單中按下以選取 [ 計算機物件 ] 複選框。 然後，選取清單下方的複選框、 在此資料夾中建立選取的物件 ，以及 刪除此資料夾中選取的物件。
8. 選取 [下一步]。
9. 在 [ 許可權] 清單中 ，按下以選取下列複選框：
   • 重設密碼
   • 讀取和寫入帳戶限制
   • 已驗證寫入 DNS 主機名
   • 已驗證寫入服務主體名稱
10. 選取 [下一步]，然後選取 [ 完成]。
11. 關閉 [Active Directory 使用者和電腦] MMC 嵌入式管理單元。

若要解決使用者無法重設密碼的問題，請遵循下列步驟：

1. 選 取 [開始]，選取 [ 執行]，輸入 dsa.msc，然後選取 [ 確定]。

2. 在工作窗格中，展開網域節點。

3. 找出並以滑鼠右鍵按兩下 [內建]，然後選取 [ 屬性]。

4. 在 [ 內建屬性 ] 對話框中，選取 [安全性] 索引 卷標。

5. 在 [ 群組或使用者名稱] 清單中，選取 [ 帳戶操作員]。

6. 在 [帳戶操作員的許可權] 下，單擊以選取 [讀取] 許可權的 [允許] 複選框，然後選取 [確定]。

   注意事項

   如果您想要使用群組或帳戶操作員群組以外的使用者，請針對該群組或該使用者重複步驟 5 和 6。

7. 關閉 [Active Directory 使用者和電腦] MMC 嵌入式管理單元。