為什麼我的使用者帳戶無法在 Powershell 中刪除 AD 電腦？

我已經在 中創建了一個Computer帳戶OU=AutoCreatedVMs,OU=Computer。我已允許 AD 組Join-Move-Delete VMs在 OU AutoCreatedVMs 中創建/刪除電腦對象：

我有一個名為的帳戶svc_jenkins並將其設為 AD Group 的成員Join-Move-Delete VMs。

以以下身份登錄時，我無法從該 OU 中刪除虛擬機svc_jenkins：

PS C:\> gci env:username

Name                           Value
----                           -----
USERNAME                       svc_jenkins


PS C:\> Get-ADComputer test


DistinguishedName : CN=test,OU=AutoCreatedVMs,OU=Computer,DC=duck,DC=loc
DNSHostName       :
Enabled           : True
Name              : test
ObjectClass       : computer
ObjectGUID        : 7dd3b09a-d079-467a-b69f-90a2e30c363d
SamAccountName    : TEST$
SID               : S-1-5-21-1075642099-280362434-2919291742-3630
UserPrincipalName :



PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False
Remove-ADComputer : Access is denied
At line:1 char:21
+ Get-ADComputer test|Remove-ADComputer -Confirm:$False
+                     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   + CategoryInfo          : PermissionDenied: (CN=test,OU=Auto...,DC=duck,DC=loc:ADComputer) [Remove-ADComputer], Un
  authorizedAccessException
   + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
  ement.Commands.RemoveADComputer

任何想法我做錯了什麼？域控制器是 Windows Server 2012 R2。

更新我在 20 分鐘後再次嘗試，它成功了。其他一切都沒有改變。

如果在您將 Powershell 添加到組時，它已經作為服務帳戶執行，則該組成員身份不會應用於該會話。您是否可能稍後在它工作時打開了一個新的 Powershell 會話？

您有多個域控制器？

我的猜測是 MMC 連接到一個 DC，而您（或 powershell）試圖在複製安全設置之前刪除另一個上的電腦對象。

當您在 20 分鐘後嘗試時，它被複製並授予您權限。

引用自：https://serverfault.com/questions/823707