Powershell：为 AD DS 对象设置所有者失败

我想在我构造的 ACL 对象中将“域管理员”设置为所有者Set-ACL的 AD DS 对象¹上运行。代码看起来基本上像这样²：

Function SetDSAcl {
       Param (
        [Microsoft.ActiveDirectory.Management.ADObject]$targetObject   # target object
    )

    $targetACL = Get-Acl "AD:\$($targetObject.DistinguishedName)"
    # [some voodoo to get the values for my new ACE]
    # Create a new AccessRule using the object constructor
    # $newAce = New-Object System.DirectoryServices.ActiveDirectoryAccessRule([...])

    # Add the generated ACE to target's ACL
    $targetAcl.AddAccessRule($newAce)

    # Persist the changed ACL to the object
    Set-ACL -AclObject $targetAcl "AD:\$($targetObject.DistinguishedName)"
}

但在 Server 2008 R2 DC (Powershell v5) 上执行代码时，Set-ACL 调用会返回此错误：

Set-ACL : This security ID may not be assigned as the owner of this object

或更通用的“拒绝访问”异常，当使用相同的安全主体从 Server 2012 R2 管理站 (Powershell v4) 运行它时：

Set-ACL : Access is denied

在这种特殊情况下，我什至没有更改所有者，但显然 Set-ACL 只是重写了整个安全描述符。

“修改权限”和“修改所有者”已在目标对象上明确设置，我完全能够使用 gpmc.msc GUI 将这个对象的所有者更改为我想要在 DC 和管理站上的任何内容，所以这不是一个明显的权限问题。另一方面，我还看到代码在由Domain Admins组成员的用户运行后立即运行。

我使用的帐户故意缺少“域管理员”成员身份（它是“BUILTIN\Server Admins”组的成员），但需要能够自由设置对象的所有者。我看到涵盖此错误消息的 MSDN 文章建议“了解您有权将哪些用户和组分配为所有者”，这对我的情况没有帮助。

那么我做错了什么？

¹在我的例子中是一个 GPO，但对象的类型并不重要，例如，我也看到它发生在 OU 中。

²调用看起来像一个黑客，Set-Acl -AclObject $targetAcl -Path "AD:\$($targetObject.DistinguishedName)"它确实是。我不能像期望的那样传递一个实现该方法的对象类型-InputObject $targetObject，[Microsoft.ActiveDirectory.Management.ADObject] 出于某种神秘的原因没有这样做。Set-ACLInputObjectSetSecurityDescriptor