Active-Directory

為什麼我的使用者帳戶無法在 Powershell 中刪除 AD 電腦?

  • January 2, 2017

我已經在 中創建了一個Computer帳戶OU=AutoCreatedVMs,OU=Computer。我已允許 AD 組Join-Move-Delete VMs在 OU AutoCreatedVMs 中創建/刪除電腦對象:

AutoCreatedVMs OU 權限的螢幕截圖

我有一個名為的帳戶svc_jenkins並將其設為 AD Group 的成員Join-Move-Delete VMs

以以下身份登錄時,我無法從該 OU 中刪除虛擬機svc_jenkins

PS C:\> gci env:username

Name                           Value
----                           -----
USERNAME                       svc_jenkins


PS C:\> Get-ADComputer test


DistinguishedName : CN=test,OU=AutoCreatedVMs,OU=Computer,DC=duck,DC=loc
DNSHostName       :
Enabled           : True
Name              : test
ObjectClass       : computer
ObjectGUID        : 7dd3b09a-d079-467a-b69f-90a2e30c363d
SamAccountName    : TEST$
SID               : S-1-5-21-1075642099-280362434-2919291742-3630
UserPrincipalName :



PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False
Remove-ADComputer : Access is denied
At line:1 char:21
+ Get-ADComputer test|Remove-ADComputer -Confirm:$False
+                     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   + CategoryInfo          : PermissionDenied: (CN=test,OU=Auto...,DC=duck,DC=loc:ADComputer) [Remove-ADComputer], Un
  authorizedAccessException
   + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
  ement.Commands.RemoveADComputer

任何想法我做錯了什麼?域控制器是 Windows Server 2012 R2。

更新我在 20 分鐘後再次嘗試,它成功了。其他一切都沒有改變。

如果在您將 Powershell 添加到組時,它已經作為服務帳戶執行,則該組成員身份不會應用於該會話。您是否可能稍後在它工作時打開了一個新的 Powershell 會話?

您有多個域控制器?

我的猜測是 MMC 連接到一個 DC,而您(或 powershell)試圖在複製安全設置之前刪除另一個上的電腦對象。

當您在 20 分鐘後嘗試時,它被複製並授予您權限。

引用自:https://serverfault.com/questions/823707