При попытке добавить или удалить пользователя из группы может оказаться, что эта операция завершается неудачно, даже если она выполняется локально на контроллере домена.
Обычно эта проблема возникает при отключении хозяина инфраструктуры или невозможности связаться с хозяином инфраструктуры из-за проблем в работе сети (например, причиной может стать отказавшее внешнее подключение).
Имя хозяина инфраструктуры можно определить с помощью оснастки Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers). Как только имя системы станет известно, можно воспользоваться командой ping для проверки сетевого подключения.
Если контроллер домена отвечает на тестовый запрос, то необходимо проверить состояние службы NetLogon. Если с контроллером домена можно связаться по сети, всегда можно воспользоваться оснасткой Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers) для удаленного подключения к контроллеру домена и повторного внесения изменений.
Если и в этом случае внесение изменений завершается неудачно, то, возможно, используемая учетная запись не входит в группу Администраторы домена (Domain Administrators) или этой учетной записи не делегированы соответствующие разрешения на уровне подразделения.
Наконец, проблема может быть связана с отказом хозяина инфраструктуры и восстанавливать этот компьютер не планируется. В таком случае необходимо воспользоваться утилитой ntdsutil и с помощью команды roles предоставить роль хозяина инфраструктуры другому контроллеру домена.