Fehlermeldung wenn Nicht-Administratoren, die delegierte Rechte erhalten haben, versuchen einen Computer zu einer Windows Server 2003-basierten oder Windows Server 2008-basierten Domänencontroller hinzuzufügen: "Zugriff verweigert"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 932455 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Auf einer Microsoft Windows Server 2003-basierten oder Windows Server 2008-basierten Domänencontroller können Benutzer ohne Administratorrechte eine oder mehrere der folgenden Symptome auftreten:
  • Nach einem bestimmten Benutzer oder einer bestimmten Gruppe mit der Berechtigung zum Hinzufügen oder Entfernen von Computerobjekte in der Domäne für eine Organisationseinheit (OU) über den Zuweisungsassistenten bereitgestellt wird, können keine Benutzer einige Computer der Domäne hinzufügen. Wenn der Benutzer versucht, einen Computer zu einer Domäne hinzufügen, können Benutzer die folgende Fehlermeldung angezeigt:
    Zugriff wurde verweigert.
    Hinweis Administratoren können Computer ohne Probleme der Domäne beitreten.
  • Benutzer, die Mitglieder der Gruppe Konten-Operatoren sind oder schon delegierte Kontrolle, nicht erstellt neue Benutzerkonten oder Kennwörter zurücksetzen, wenn sie lokal anmelden oder bei der Anmeldung über Terminaldienste auf den Domänencontroller.

    Wenn Benutzer versuchen, ein Kennwort zurücksetzen, erhalten sie die folgende Fehlermeldung angezeigt:
    Die Kennwortänderung für konnte nicht abgeschlossen werden. Benutzername Da: der Zugriff wurde verweigert.
    Wenn Benutzer versuchen, ein neues Benutzerkonto erstellen, wird die folgende Fehlermeldung angezeigt:
    Das Kennwort für den Benutzernamen nicht aufgrund fehlender Berechtigungen festgelegt werden, es wird versucht, dieses Konto zu deaktivieren. Wenn dieser Versuch fehlschlägt, wird das Konto zum Sicherheitsrisiko werden. Wenden Sie sich an einem Administrator so bald wie möglich, um diese zu reparieren. Bevor dieser Benutzer anmelden kann, sollte das Kennwort festgelegt werden, und das Konto muss aktiviert sein.

Ursache

Diese Symptome können auftreten, wenn eine oder mehrere der folgenden Bedingungen erfüllt sind:
  • Ein Benutzer oder eine Gruppe wurde nicht die Berechtigung zum Zurücksetzen von Kennwörtern für die Computerobjekte gewährt.

    Hinweis Einen Benutzer oder eine Gruppe kann nicht zu einer Domäne einen Computer hinzufügen, wenn der angegebene Benutzer oder die angegebene Gruppe nicht die Berechtigung Kennwort zurücksetzen für Computerobjekte verfügt. Benutzer können neue Computerkonten für die Domäne ohne diese Berechtigung erstellen. Aber wenn das Computerkonto bereits in Active Directory vorhanden ist, erhalten sie die Fehlermeldung "Zugriff verweigert" angezeigt, da die Berechtigung Kennwort zurücksetzen für die Computer-Objekteigenschaften für das bestehende Computerobjekt zurücksetzen erforderlich ist.
  • Benutzer wurden delegierte Kontrolle der Gruppe Konten-Operatoren oder sind Mitglieder der Gruppe Konten-Operatoren. Diese Benutzer haben nicht die Berechtigung Lesen für die integrierte OE in "Active Directory-Benutzer und -Computer." gewährt wurde

Lösung

Benutzer können einen Computer nicht zu einer Domäne hinzufügen.

Um das Problem zu beheben, damit ein Benutzer einen Computer einer Domäne hinzufügen können, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dsa.msc ein, und klicken Sie dann auf OK.
  2. Erweitern Sie den Domänenknoten, klicken Sie im Aufgabenbereich.
  3. Suchen Sie mit der rechten Maustaste in der Organisationseinheit, die Sie ändern möchten, und klicken Sie dann auf Objektverwaltung.
  4. Klicken Sie in den Assistenten zum Zuweisen der Objektverwaltung auf Weiter.
  5. Klicken Sie auf Hinzufügen , um einen bestimmten Benutzer oder einer bestimmten Gruppe zu der Liste ausgewählte Benutzer und Gruppen hinzufügen, und klicken Sie dann auf Weiter.
  6. In der Zuzuweisende Aufgaben auf eine benutzerdefinierte Tasks zum Zuweisen erstellen, und klicken Sie dann auf Weiter.
  7. Klicken Sie auf folgenden Objekten im Ordner, und aktivieren Sie anschließend in der Liste das Kontrollkästchen Computer Objects . Wählen Sie dann die Kontrollkästchen unterhalb der Liste gewählte Objekte in diesem Ordner erstellen und gewählte Objekte in diesem Ordner löschen.
  8. Klicken Sie auf Weiter.
  9. Klicken Sie in der Liste Berechtigungen auf die folgenden Kontrollkästchen:
    • Zurücksetzen von Kennwörtern
    • Lesen und Schreiben von Beschränkungen für Benutzerkonten
    • Bestätigtes Schreiben an Hostnamen
    • Bestätigtes Schreiben an Dienstprinzipal
  10. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
  11. Schließen Sie das Snap-in "Active Directory-Benutzer und-Computer" MMC.

Benutzer können keine Kennwörter zurücksetzen.

Um das Problem zu beheben, in dem Benutzer keine Kennwörter zurücksetzen können, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dsa.msc ein, und klicken Sie dann auf OK.
  2. Erweitern Sie den Domänenknoten, klicken Sie im Aufgabenbereich.
  3. Suchen Sie mit der rechten Maustaste Vordefiniertund klicken Sie dann auf Eigenschaften.
  4. Klicken Sie im Dialogfeld Vordefinierte Eigenschaften auf die Registerkarte Sicherheit .
  5. Klicken Sie in der Liste Gruppen-oder Benutzernamen auf Konten-Operatoren.
  6. Aktivieren Sie unter Berechtigungen für Konten-Operatorenaktivieren Sie das Kontrollkästchen Zulassen für die Berechtigung Lesen , und klicken Sie dann auf OK.

    Hinweis Wenn Sie eine Gruppe oder einen Benutzer als Gruppe Konten-Operatoren verwenden möchten, wiederholen Sie die Schritte 5 und 6 für diese Gruppe oder diesen Benutzer.
  7. Schließen Sie das Snap-in "Active Directory-Benutzer und-Computer" MMC.

Eigenschaften

Artikel-ID: 932455 - Geändert am: Samstag, 8. November 2014 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Keywords: 
kbexpertiseadvanced kbtshoot kbmt KB932455 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 932455
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com