当计算机加入域时出现“拒绝访问”错误消息

        症状         当您尝试将计算机加入域时，加入过程无法运行，并且您可能会收到“拒绝访问”（在 windows xp 中）或“权限不足”（在 microsoft windows 2000 中）错误消息。在下面几种情况下可能会收到此错误消息：         • 用另一台具有相同名称的计算机替换此客户机。         • 您正用于加入过程的域用户帐户只有“向域添加工作站”的权限。因此，在替换之前旧的计算机帐户被删除。  

        原因         客户机使用尚未复制此帐户删除的“轻量级目录访问协议”(ldap) 服务器或域控制器，但是没有修改仍保留的帐户的正确权限。

        替代方法         要变通解决此问题，可使用下列任一方法：         • 使用另外一个计算机名称。         • 等待 active directory 进行复制，或使用以下命令强制进行复制： repadmin /sync domaindn目标 dsa guid._msdcs 源 dsa guid /force         • 在加入过程中使用域管理员帐户。         • 向您正在使用的帐户授予附加权限： 1. 启动 adsiedit.msc。 2. 打开“domain nc, dc=域, cn=computers”节点。 3. 单击“计算机”，然后单击“属性”。 4. 在“安全”选项卡上，单击“高级”。 5. 单击“添加”，然后单击适当的用户帐户或组。 6. 在“应用到”框中，单击“计算机对象”。 7. 在“权限”窗格中，单击以选中“写入所有属性”、“重设密码”和“将这些权限只应用到这个容器中的对象和/或容器上”复选框。 8. 单击“确定”，直到做出更改。 9. 等待 active directory 进行复制，或强制进行同步。  

        更多信息         尽管客户机将寻找其所处的站点，但它将在域名系统 (dns) 中的“_ldap._tcp.dc._msdcs.dnsdomainname”中查找 ldap 服务器。这不是特定于站点的。客户机可能会从一个尚未复制对此旧计算机帐户的删除的远程站点使用 ldap 服务器（域控制器）。这取决于 active directory 站点间复制计划。

        从 ldap 服务器收到的站点信息用于在“_ldap._tcp.clientsitename._sites.dc._msdcs.dnsdomainname”中查找特定于站点的 ldap 服务器。在与本地 ldap 服务器通信期间，客户机被告知其计算机帐户名称仅存在于第一次使用的域控制器上。为避免潜在的复制冲突问题，客户机将使用其计算机帐户所在的域控制器，而不是创建一个新帐户。不过，用于加入过程的域用户帐户没有足够的权限修改现有的帐户，因此加入过程无法执行。