Ошибка: доступ отказано, когда пользователи без права администратора, которым делегирован контроль, пытаются присоединить компьютеры к контроллеру домена

В этой статье приводится решение проблемы с сообщением об ошибке, когда пользователи без права администратора, которым делегирован контроль, пытаются присоединить компьютеры к контроллеру домена.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 932455

Симптомы

На контроллере домена на основе Microsoft Windows Server 2003 или Windows Server 2008 пользователи, не управляющего, могут испытывать один или несколько из следующих симптомов:

После того как определенному пользователю или определенной группе будет предоставлено разрешение на добавление или удаление объектов-компьютеров в домене в подразделении с помощью мастера делегирования, пользователи не смогут добавлять некоторые компьютеры в домен. Когда пользователь пытается присоединить компьютер к домену, пользователи могут получить следующее сообщение об ошибке:

Администраторы могут присоединять компьютеры к домену без каких-либо проблем.

Пользователи, которые являются членами группы «Операторы учетных записей» или которым делегирован контроль, не могут создавать новые учетные записи пользователей или сбрасывать пароли при локальном входе или при входе через службы терминалов на контроллер домена.

При попытке сбросить пароль пользователи могут получить следующее сообщение об ошибке:

Windows не может завершить смену пароля для имени пользователя, так как доступ отказано.

Когда пользователи пытаются создать новую учетную запись пользователя, они получают следующее сообщение об ошибке:

Пароль для имени пользователя не может быть установлен из-за недостатка привилегий, Windows попытается отключить эту учетную запись. Если эта попытка не удалась, учетная запись станет угрозой безопасности. Как можно скорее обратитесь к администратору, чтобы восстановить его. Прежде чем пользователь сможет войти в систему, необходимо установить пароль и включить учетную запись.

Причина

Эти симптомы могут возникать, если верно одно или несколько из следующих условий:

Пользователю или группе не предоставлено разрешение на сброс паролей для объектов компьютера.

Пользователь или группа не могут присоединить компьютер к домену, если у указанного пользователя или указанной группы нет разрешения на сброс пароля для объектов компьютера. Пользователи могут создавать учетные записи компьютеров для домена без этого разрешения. Но если учетная запись компьютера уже присутствует в Active Directory, она получит сообщение об ошибке «Доступ отклонен», так как для сброса свойств существующего объекта компьютера требуется разрешение на сброс пароля.

Пользователям делегирован контроль над группой «Операторы учетных записей» или они являются членами группы «Операторы учетных записей». Этим пользователям не предоставлено разрешение на чтение для встроенного OU в «Пользователи и компьютеры Active Directory».

Решение

Чтобы устранить проблему, из-за которой пользователи не могут присоединить компьютер к домену, выполните следующие действия.

1. Выберите «Начните»,выберите «Выполнить», введите dsa.msc и выберите «ОК».
2. В области задач разо расширении узла домена.
3. Найдите и щелкните правой кнопкой мыши нужное OU, а затем выберите «Делегирование управления».
4. В мастере делегирования управления выберите «Далее».
5. Выберите «Добавить», чтобы добавить определенного пользователя или определенную группу в список «Выбранные пользователи и группы», а затем выберите «Далее».
6. На странице «Делегирование задач» выберите «Создать настраиваемую задачу для делегирования», а затем выберите «Далее».
7. Выберите в папке только следующие объекты, а затем в списке щелкните, чтобы выбрать поле «Объекты компьютера». Затем выберите флажки под списком, создайте выбранные объекты в этой папке и удалите выбранные объекты в этой папке.
8. Нажмите кнопку Далее.
9. В списке разрешений щелкните, чтобы выбрать следующие флажки:
   • Сброс пароля
   • Ограничения на чтение и запись учетных записей
   • Проверка записи в DNS-имя хоста
   • Проверка записи в имя главного службы
10. Выберите «Далее» и «Готово»
11. Закроем оснастку MMC «Active Directory — пользователи и компьютеры».

Чтобы устранить проблему, из-за которой пользователи не могут сбросить пароли, выполните следующие действия.

Выберите «Начните», выберите «Выполнить», введите dsa.msc и выберите «ОК».

В области задач разо расширении узла домена.

Найдите и щелкните правой кнопкой мыши builtin, а затем выберите «Свойства».

В диалоговом окне «Встроенные свойства» выберите вкладку «Безопасность».

В списке «Группы» или «Имена пользователей» выберите «Операторы учетной записи».

В области «Разрешения для операторов учетных записей» щелкните, чтобы выбрать «Разрешить» для разрешения «Чтение», а затем нажмите кнопку «ОК».

Если вы хотите использовать группу или пользователя, не в группу «Операторы учетной записи», повторите шаги 5 и 6 для этой группы или этого пользователя.

Закроем оснастку MMC «Active Directory — пользователи и компьютеры».

Сбой DCPROMO с ошибкой «Доступ отказано», если пользователю не предоставлено право «доверенного для делегирования» пользователя

В этой статье приводится решение проблемы с отказом в доступе, которая возникает с помощью DCPROMO (promoter контроллера домена).

Исходная версия продукта: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
Исходный номер КБ: 2002413

Симптомы

Сбой при продвижении DCPROMO на рядовом компьютере с Windows Server 2008 или более поздней версии на реплику DC со следующей ошибкой:

Название: Безопасность Windows
Текст сообщения: сетевые учетные данные
Сбой операции: мастеру установки доменных служб Active Directory не удалось преобразовать учетную запись компьютера $в учетную запись контроллера домена Active Directory. «Доступ отказано»

Сбой понижения DCPROMO может привести к той же ошибке:

Название: Безопасность Windows
Текст сообщения: сетевые учетные данные
Сбой операции: доменным службам Active Directory не удалось настроить учетную запись компьютера $для удаленной учетной записи контроллера домена Active Directory. «Доступ отказано»

Причина

Учетной записи пользователя, используемой для выполнения DCPROMO, не предоставлено право пользователя «Сделать учетные записи компьютеров и пользователей доверенными для делегирования».

Решение

Убедитесь, что политика контроллеров домена по умолчанию существует в Active Directory (AD).

Если политика контроллера домена не существует, оцените, было ли это условие обусловлено простой задержкой репликации, ошибкой репликации AD или удалением политики из Active Directory. Если политика была удалена, обратитесь в службу поддержки Майкрософт, чтобы повторно создать отсутствующие политики с GUID политики по умолчанию (Глобальный уникальный идентификатор). Не воссоздайте политику вручную с тем же именем и настройками, что и по умолчанию.

Если политика контроллеров домена по умолчанию существует в Active Directory на некоторых контроллерах домена, но не в других, оцените, вызвано ли это несоответствием простой задержкой репликации или сбоем репликации. Разрешать по мере необходимости.

Убедитесь, что учетной записи пользователя предоставлено разрешение «Сделать учетные записи компьютеров и пользователей доверенными для делегирования» в политике контроллеров домена по умолчанию.

Запустите «whoami /all», чтобы убедиться, что в маркере безопасности пользователей существует право пользователя «Включить доверие учетным записям компьютеров и пользователей для делегирования».

По умолчанию это право предоставляется членам группы безопасности «Администраторы» в целевом домене. Встроенная учетная запись администратора является членом этой группы безопасности, но может быть удалена.

• Если пользователь, не встраив встроенную группу администраторов, делает рекламные акции DCPROMO, добавьте эту учетную запись пользователя в группу безопасности «Администраторы» или добавьте учетную запись пользователя «Включить доверие к учетным записям компьютеров и пользователей для делегирования» прямо в политике контроллеров домена по умолчанию.
• Недавно была изменена политика «Сделать учетные записи компьютеров и пользователей доверенными для делегирования» или политика, которая предоставляет учетную запись пользователя DCPROMO, существует на некоторых контроллерах домена в домене, но не на других, проверьте, нет ли простой задержки репликации или сбоя репликации в Active Directory и репликации файловой системы (FSR) / репликации распределенной файловой системы (DFSR).
• Если политика была недавно изменена, учетная запись пользователя DCPROMO должна выйти из нее и войти в нее.

Убедитесь, что политика контроллеров домена по умолчанию связана с OU контроллеров домена и что все учетные записи компьютера DC остаются в этом OU.

Если учетные записи компьютера DC остаются в альтернативном контейнере OU, переместите все учетные записи компьютера DC в OU контроллеров домена или привяжете политику контроллеров домена по умолчанию к альтернативному контейнеру OU.

Убедитесь, что часть файловой системы политики контроллеров домена по умолчанию существует в папке SYSVOL dc, используемой для применения политики на продвигаемом или пониженном компьютере.

Если его нет, это может быть по одной или нескольким из следующих причин:

• Задержка репликации в FRS / DFSR
• Сбой репликации в FRS / DFSR
• Политика была удалена из SYSVOL. Если политика была удалена, обратитесь в службу поддержки Майкрософт, чтобы повторно создать отсутствующие политики с GUID политики по умолчанию. Не воссоздайте политику вручную с тем же именем и настройками, что и по умолчанию.

Стандартная политика домена или политика в целом не применяется к во время входа пользователя

Чтобы проверить наследование политик, фильтрацию инструментатора управления Windows (WMI) или проблему дескриптора безопасности, которая может препятствовать ее применении, запустите следующую команду:

Дополнительные сведения

Таблица 1. Журналы из рекламной акции (пример)

DCPROMO. LOG

DCPROMOUI. LOG

[INFO] Создание объекта параметров NTDS для этого контроллера домена Active Directory на удаленном контроллере домена Active Directory .contoso.com. [INFO] Репликация раздела каталога схемы . [INFO] Реплицирован контейнер схемы. [INFO] Доменные службы Active Directory обновили кэш схемы. [INFO] Репликация раздела каталога конфигурации . [INFO] Реплицирован контейнер конфигурации. [INFO] Ошибка — мастеру установки доменных служб Active Directory не удалось преобразовать учетную запись компьютера $в учетную запись контроллера домена Active Directory. (5) [INFO] EVENTLOG (ошибка): NTDS General / Внутренняя обработка: 1168 Внутренняя ошибка: произошла ошибка доменных служб Active Directory. Значение ошибки (десятичная): -1073741823 Значение ошибки (hex): c0000001 [INFO] EVENTLOG (информационный): NTDS General / Service Control: 1004 Доменные службы Active Directory успешно завершены. Доступ к серверу обмена файлами SMB неуспешен с помощью псевдонима DNS CNAME В этой статье данная статья предоставляет решения проблемы, из-за которую псевдоним DNS CNAME не может получить доступ к файлам SMB-серверов. Оригинальная версия продукта: Windows 10 — все выпуски, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 7 Пакет обновления 1 Исходный номер КБ: 3181029 Симптомы Вы работаете на сервере SMB-файлов, например Windows Server. На сервере есть файлы и ресурсы, настроенные с помощью их имени NetBIOS, доменного имени DNS с полной квалификацией (FQDN) и их псевдонима (CNAME). У вас есть клиент с Windows 7, Windows Server 2008 R2 или более поздней версией Windows. Если приложение или пользователь использует фактическое имя хранилища (имя NetBIOS или FQDN) для файлов или других ресурсов на сервере, использующем SMB, доступ будет успешным. Когда приложение или пользователь использует псевдоним CNAME для файлов или других ресурсов на сервере, использующем SMB, и вы пытаетесь подключиться к акции на файловом сервере с его псевдонимом DNS CNAME. Например, вы пытаетесь подключиться к доле на файловом сервере с помощью псевдонима DNS CNAME: В этом случае вы испытываете следующие действия: Доступ от клиента Windows Server 2008 R2 Windows 7 является успешным. Доступ к windows Server 2012 R2, Windows 8.1 или более поздней версии клиента Windows является неудачным. В этом случае вы получаете сообщение об ошибке, напоминаемом следующее: \\uncpath недоступен. Возможно, у вас нет разрешения на использование этого сетевого ресурса. Обратитесь к администратору этого сервера, чтобы узнать, есть ли у вас разрешения на доступ. Ошибка logon. Имя целевой учетной записи неверно. Причина Если вы используете сетевой монитор, проводную акулу или анализатор сообщений Майкрософт для проверки сетевого следа при успешной установке сеанса SMB, сеанс переходит к tree Connect. Однако при проверке сетевого следа при неудачной установке сеанса SMB сеанса с ошибкой Kerberos KRB_AP_ERR_MODIFIED. Вот пример неудачного запроса на установку сеансов SMB в сетевом следе: В неудачном запросе на установку сеанса SMB клиент передает неправильный SPN CNAME. SpN может быть неправильным, так как он зарегистрирован на старом сервере. Однако в случае успешного запроса на установку сеанса SMB, например в случае Windows Server 2008 R2 клиента, клиент переадвергает SPN для фактического имени сервера. Если имя файлового сервера было разрешено с помощью DNS, клиент SMB привносим суффикс DNS в имя, предоставленное пользователем. То есть первым компонентом SPN всегда будет имя пользователя, как в следующем примере: Эта попытка не удалась бы для более старых реализации SMB (Например, AIX Samba 3.5.8), которые не могут быть настроены для проверки подлинности Kerberos и не прослушивают порт прямого хоста SMB 445, а только в порту NetBIOS 139. Если имя файлового сервера было разрешено с помощью другого механизма, например NetBIOS Разрешение многофаскальных имен link-local (LLMNR) Процессы протокола разрешения одноранговых имен (PNRP) клиент SMB использует предоставленное пользователем имя, например следующее: Решение Чтобы устранить эту проблему на файловом сервере с протоколом SMB версии 1, добавьте значение в DisableStrictNameChecking реестр: Расположение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Имя DWORD: DisableStrictNameChecking Значение DWORD: 1 Не используйте DNS CNAMEs в будущем для файловой серверы. Если вы хотите по-прежнему давать альтернативные имена серверам, вы можете сделать это со следующей командой: NETDOM COMPUTERNAME/ADD Эта команда автоматически регистрирует SPNs для альтернативных имен. Мы не рекомендуем устранять эту проблему для файлового сервера, не основанного на Windows, введя следующие команды в окне командной подсказки на компьютере с Windows. Необходимо войти в систему с учетными данными администратора домена. Затем нажмите кнопку Ввод в командной подсказке для регистрации SPN для CNAME устройства хранения файлового сервера на основе Windows: Если используется кластеризация Windows 2012, установите hotfix для клиентов на уровне, в котором компьютеры Windows XP или Windows Server 2003 не могут подключиться: не удается получить доступ к ресурсу, который находится на базе кластера сбойной передачи Windows Server 2012. Если вы создаете CNAME для кластерного имени, к которое подключаются клиенты, необходимо настроить свойства для этого кластерного имени, чтобы оно отвечало CNAMEs: Настройка псевдонима для кластерной доли SMB с Windows Server 2012. Трассировка сети Чтобы собрать сетевой след, выполните следующие действия: Откройте окно командной подсказки, введите следующую команду и нажмите кнопку Ввод: Удалите все существующие сетевые подключения File Server, заверив следующую команду: Инициализация кэша всех имен путем удаления существующего кэша: Чтобы удалить кэш DNS, введите следующую команду и нажмите кнопку Ввод: Чтобы удалить кэш NetBIOS, введите следующую команду и нажмите кнопку Ввод: Чтобы удалить кэш Kerberos, введите следующую команду и нажмите кнопку Ввод: Чтобы удалить кэш ARP, введите следующую команду и нажмите кнопку Ввод: Попробуйте подключиться к сетевой сети, введя следующую команду и нажав кнопку Ввод: Чтобы остановить сетевой след в неудачном сценарии, введите следующую команду и нажмите кнопку Ввод: Сбор параметров реестра Чтобы собрать параметры реестра на файловом сервере, выберите Начните, выберите Выполнить, введите команду в поле Открыть, а затем выберите ОК. Повторите этот шаг для следующих команд: Файлы параметров реестра (. ВИЧ) сохраняются в папке TEMP на файловом сервере. Проверка параметров реестра Проверьте параметры следующих значений реестра на файловом сервере: Применение hotfixes (сервер и клиент) Для Windows 7 и Windows Server 2008 R2 в Windows 7 Корпоративная: Кроме того, применим следующие горячие фиксы: Ссылки Заявление об отказе от ответственности за сведения о продуктах сторонних производителей В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов. Читайте также:  Включение теневого копирования windows 10 Оцените статью Вам также может понравиться Windows или Linux: Что лучше выбрать? Есть много причин выбирать между Windows и Linux, но Файл владелец изменить linux Команда Chown в Linux Chown Command in Linux (File Установка шлюза по умолчанию linux Настройка сети вручную Содержание Краткое описание Чем разбить диск для linux ИТ База знаний Курс по Asterisk Полезно — Узнать IP — Правообладателям Политика конфиденциальности Контакты