Windows 2003 R2 控制站退出網域問題

症狀

因 Windows 2003 R2 已經 EOS，所以要將 Windows 2003 R2 控制站退出網域，但在降級的過程中出現了錯誤訊息。

發生原因

一開始以為是登入帳戶權限不足(不是 Enterprise Admins 群組成員)，但後來改用網域管理員帳號也同樣無法通過驗證。

後來查詢紀錄檔後發現可能是"使用者權限指派"的關係。

因配合資安政策，已將原本該有的帳號群組移除所致。

解決方式

開啟 Default Domain Controllers Policy 並修改 Windows設定 -> 安全性設定 -> 本機原則 ->  使用者權限指派 中的 "讓電腦及使用者帳戶受信賴，以進行委派"，加入要進行 dcpromo 的使用者帳號或所屬群組即可。

參考資料

1. DCPROMO fails with error "Access is denied" if the user performing the promotion is not granted the "trusted for delegation" user right