Active-Directory
為什麼我的使用者帳戶無法在 Powershell 中刪除 AD 電腦?
我已經在 中創建了一個
Computer
帳戶OU=AutoCreatedVMs,OU=Computer
。我已允許 AD 組Join-Move-Delete VMs
在 OU AutoCreatedVMs 中創建/刪除電腦對象:我有一個名為的帳戶
svc_jenkins
並將其設為 AD Group 的成員Join-Move-Delete VMs
。以以下身份登錄時,我無法從該 OU 中刪除虛擬機
svc_jenkins
:PS C:\> gci env:username Name Value ---- ----- USERNAME svc_jenkins PS C:\> Get-ADComputer test DistinguishedName : CN=test,OU=AutoCreatedVMs,OU=Computer,DC=duck,DC=loc DNSHostName : Enabled : True Name : test ObjectClass : computer ObjectGUID : 7dd3b09a-d079-467a-b69f-90a2e30c363d SamAccountName : TEST$ SID : S-1-5-21-1075642099-280362434-2919291742-3630 UserPrincipalName : PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False Remove-ADComputer : Access is denied At line:1 char:21 + Get-ADComputer test|Remove-ADComputer -Confirm:$False + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (CN=test,OU=Auto...,DC=duck,DC=loc:ADComputer) [Remove-ADComputer], Un authorizedAccessException + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag ement.Commands.RemoveADComputer
任何想法我做錯了什麼?域控制器是 Windows Server 2012 R2。
更新我在 20 分鐘後再次嘗試,它成功了。其他一切都沒有改變。
如果在您將 Powershell 添加到組時,它已經作為服務帳戶執行,則該組成員身份不會應用於該會話。您是否可能稍後在它工作時打開了一個新的 Powershell 會話?
您有多個域控制器?
我的猜測是 MMC 連接到一個 DC,而您(或 powershell)試圖在複製安全設置之前刪除另一個上的電腦對象。
當您在 20 分鐘後嘗試時,它被複製並授予您權限。