我已经在 中创建了一个Computer帐户OU=AutoCreatedVMs,OU=Computer。我已允许 AD 组Join-Move-Delete VMs在 OU AutoCreatedVMs 中创建/删除计算机对象:
我有一个名为的帐户svc_jenkins并将其设为 AD Group 的成员Join-Move-Delete VMs。
以以下身份登录时,我无法从该 OU 中删除虚拟机svc_jenkins:
PS C:\> gci env:username
Name Value
---- -----
USERNAME svc_jenkins
PS C:\> Get-ADComputer test
DistinguishedName : CN=test,OU=AutoCreatedVMs,OU=Computer,DC=duck,DC=loc
DNSHostName :
Enabled : True
Name : test
ObjectClass : computer
ObjectGUID : 7dd3b09a-d079-467a-b69f-90a2e30c363d
SamAccountName : TEST$
SID : S-1-5-21-1075642099-280362434-2919291742-3630
UserPrincipalName :
PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False
Remove-ADComputer : Access is denied
At line:1 char:21
+ Get-ADComputer test|Remove-ADComputer -Confirm:$False
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : PermissionDenied: (CN=test,OU=Auto...,DC=duck,DC=loc:ADComputer) [Remove-ADComputer], Un
authorizedAccessException
+ FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
ement.Commands.RemoveADComputer
任何想法我做错了什么?域控制器是 Windows Server 2012 R2。
更新我在 20 分钟后再次尝试,它成功了。其他一切都没有改变。
如果在您将 Powershell 添加到组时,它已经作为服务帐户运行,则该组成员身份不会应用于该会话。您是否可能稍后在它工作时打开了一个新的 Powershell 会话?
您有多个域控制器?
我的猜测是 MMC 连接到一个 DC,而您(或 powershell)试图在复制安全设置之前删除另一个上的计算机对象。
当您在 20 分钟后尝试时,它被复制并授予您权限。