CMD添加新用户时提示“拒绝访问”如何解决？

1. 问题现象与基础排查

在Windows系统中，使用CMD命令 net user username password /add 添加新用户时，提示“拒绝访问”是常见问题。该错误通常首先出现在标准用户或受限账户执行命令的场景下。

• 当前会话未以管理员身份运行CMD
• 执行命令的账户不属于本地管理员组
• UAC（用户账户控制）限制了权限提升
• 目标系统为域环境，本地用户管理被策略禁止

初步排查应从确认当前CMD是否具备管理员权限开始。可通过右键点击“命令提示符”，选择“以管理员身份运行”来验证权限状态。

2. 权限层级与执行上下文分析

Windows操作系统采用基于令牌的安全模型，每个进程都关联一个安全上下文。当使用net user命令时，系统会检查调用进程的访问令牌是否包含SeCreateUserPrivilege权限。

若当前账户未被授予上述权限，则即使账户名为“Administrator”，也可能因完整性级别不足而失败。

3. 组策略与本地安全策略的影响

除了基本权限外，组策略（GPO）和本地安全策略可进一步限制用户管理操作。特别是在企业环境中，以下配置可能导致“拒绝访问”：

1. “计算机配置 → Windows设置 → 安全设置 → 本地策略 → 用户权利分配”中，“添加用户到任意组”或“创建用户账户”被显式拒绝
2. 通过域策略禁用了本地用户管理功能
3. AppLocker或软件限制策略阻止了net.exe的执行
4. 注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System中的ConsentPromptBehaviorAdmin设置不当

可通过gpresult /H report.html生成组策略结果报告，分析是否存在冲突策略。

4. 深层诊断方法与工具支持

对于复杂环境，需结合多种工具进行深度诊断：

whoami /priv
whoami /groups
secedit /export /cfg security_policy.txt

上述命令分别用于查看当前用户的特权列表、所属组及导出当前安全配置。重点关注输出中是否包含Enabled状态的SeCreateUserPrivilege。

5. 解决方案实施路径

解决“拒绝访问”问题需按优先级顺序执行以下步骤：

1. 确保以管理员身份运行CMD：右键→“以管理员身份运行”
2. 验证账户属于“Administrators”组：net localgroup administrators
3. 检查UAC设置并临时降低以测试（仅限调试）
4. 使用runas /user:Administrator cmd切换高权账户
5. 修改本地安全策略，赋予账户“创建用户账户”权利
6. 在域环境中联系域管理员确认权限边界
7. 检查防病毒软件或EDR是否拦截敏感操作
8. 启用审核策略，记录失败事件以便溯源
9. 使用PowerShell替代方案：New-LocalUser -Name "test" -Password (ConvertTo-SecureString "pass" -AsPlainText -Force)
10. 验证SAM数据库状态：systeminfo | findstr /i "domain"

6. 自动化检测流程图