应用程序池帐户无法向 Active Directory 中添加用户帐户 - 事件 3359（SharePoint 2010 产品）

 

适用于： SharePoint Foundation 2010, SharePoint Server 2010

上一次修改主题： 2010-02-01

**警报名称：**应用程序池帐户无法向 Active Directory 添加用户帐户

**事件 ID：**3359

**摘要：**Internet Information Services (IIS) 应用程序池基于 Active Directory 用户创建标识并使用一组权限关联这些标识。这样，Active Directory 组织单位 (OU) 中的用户可以继承这些权限。

**症状：**可能会出现下列一种或多种症状：

• 帐户创建模式不能正常工作，这将阻止添加或读取用户数据。

• 不会在 Active Directory 中自动创建用户帐户。

• 事件日志中出现以下事件：事件 ID: 3359 描述: 应用程序池帐户的权限不足，无法向 Active Directory 添加用户帐户。

**原因：**应用程序池使用的帐户不具有向 Active Directory 添加新用户帐户所需的相应权限级别。

解决方案：确定应用程序池帐户在其中创建新用户帐户的 OU

1. 验证您是否满足以下最低要求：请参阅 Add-SPShellAdmin。

2. 在“开始”菜单上，单击“所有程序”。

3. 单击“Microsoft SharePoint 2010 产品”。

4. 单击“SharePoint 2010 Management Shell”。

5. 在 Windows PowerShell 命令提示符下，键入以下内容：

   $wa=Get-SPWebApplication
   $wa.Parent.CreateActiveDirectoryAccounts
   $wa.Parent.ActiveDirectoryDomain
   $wa.Parent.ActiveDirectoryOrganizationalUnit
   

备注

我们建议您在执行命令行管理任务时使用 Windows PowerShell。Stsadm 命令行工具已被弃用，仍然包含该工具是为了支持与之前产品版本的兼容性。

解决方案：向 OU 添加正确的权限

1. 在安装了 Active Directory 工具的服务器上，以具有足够域权限的用户身份（如域管理员）打开 Active Directory 用户和计算机管理单元。若要打开 Active Directory 用户和计算机，请依次单击“开始”和“运行”，然后键入 dsa.msc。

2. 在控制台树中，右键单击要委派控制的 OU。

3. 单击“委派控制”，以启动控制委派向导，然后按照向导中的说明操作。

4. 在“欢迎”窗格中，单击“下一步”。

5. 在“用户和组”窗格中，单击“添加”。

6. 在“输入要选择的对象名称”框中，键入计划用于管理应用程序池标识的用户名，然后单击“确定”。

7. 单击“下一步”。

8. 在“要委派的任务”窗格中，选中“创建、删除和管理用户帐户”和“读取所有用户信息”复选框，然后单击“下一步”。

9. 单击“完成”。