The application pool account cannot add user accounts to Active Directory - Ereignis 3359 (SharePoint 2010-Produkte)

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2010-02-01

Warnungsname: Das Anwendungspoolkonto verfügt über nicht ausreichende Berechtigungen zum Hinzufügen von Benutzerkonten zu Active Directory

Ereignis-ID: 3359

Zusammenfassung: Der IIS-Anwendungspool (Internet Information Services, Internetinformationsdienste) erstellt Identitäten basierend auf Active Directory-Benutzern und ordnet diese Identitäten mithilfe eines Berechtigungssatzes zu. Auf diese Weise können Benutzer in einer Active Directory- Organisationseinheit (Organizational Unit, OU) diese Berechtigungen erben.

Symptome: Eines oder mehrere der folgenden Symptome können auftreten:

  • Der Kontoerstellungsmodus wird nicht ordnungsgemäß ausgeführt, weshalb Benutzerdaten nicht hinzugefügt oder gelesen werden können.

  • Benutzerkonten werden in Active Directory nicht automatisch erstellt.

  • Das Ereignis wird im Ereignisprotokoll angezeigt: Ereignis-ID: 3359 Beschreibung: Das Anwendungspoolkonto verfügt nicht über ausreichende Berechtigungen zum Hinzufügen von Benutzerkonten zu Active Directory.

Ursache: Das vom Anwendungspool verwendete Konto verfügt nicht über die erforderliche Berechtigungsstufe, um Active Directory neue Benutzerkonten hinzuzufügen.

Lösung: Bestimmen der Organisationseinheit, in der das Anwendungspoolkonto neue Benutzerkonten erstellt

  1. Stellen Sie sicher, dass die folgenden Mindestanforderungen erfüllt sind: Weitere Informationen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie im Startmenüauf Alle Programme.

  3. Klicken Sie auf Microsoft SharePoint 2010-Produkte.

  4. Klicken Sie auf SharePoint 2010-Verwaltungsshell.

  5. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

    $wa=Get-SPWebApplication
$wa.Parent.CreateActiveDirectoryAccounts
$wa.Parent.ActiveDirectoryDomain
$wa.Parent.ActiveDirectoryOrganizationalUnit

Hinweis

Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.

Lösung: Hinzufügen der erforderlichen Berechtigungen zur Organisationseinheit

  1. Öffnen Sie auf einem Server, auf dem die Active Directory-Tools installiert sind, das Snap-In Active Directory-Benutzer und -Computer als Benutzer mit ausreichenden Domänenberechtigungen, wie z. B. als Domänenadministrator. Klicken Sie zum Öffnen von Active Directory-Benutzer und -Computer auf Start, klicken Sie auf Ausführen, und geben Sie dsa.msc ein.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Organisationseinheit, für die Sie die Steuerung delegieren möchten.

  3. Klicken Sie auf Steuerung delegieren, um den Assistenten zum Zuweisen der Objektverwaltung zu starten, und folgen Sie dann den Anweisungen des Assistenten.

  4. Klicken Sie im Bereich Willkommen auf Weiter.

  5. Klicken Sie im Bereich Benutzer und Gruppen auf Hinzufügen.

  6. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Benutzernamen ein, den Sie für die Identität des Administrationsanwendungspool verwenden möchten, und klicken Sie dann auf OK.

  7. Klicken Sie auf Weiter.

  8. Aktivieren Sie im Bereich Zuzuweisende Aufgaben die Kontrollkästchen Erstellt, entfernt und verwaltet Benutzerkonten und Liest alle Benutzerinformationen, und klicken Sie dann auf Weiter.

  9. Klicken Sie auf Fertig stellen.