我需要更改服务帐户的 instanceType 属性。如果我尝试从 Active Directory 用户和计算机控制台更改它,它会变灰;如果我尝试使用 Set-Aduser 通过 powershell 更改它,我会收到“无法修改该属性,因为它归系统所有”。
有人知道如何将 instanceType 属性从 4 更改为 0 吗?
答案1
正如您所发现的,该instanceType属性被标记为“仅限系统”,因为您可能会干扰修改此属性的目录副本的复制状态。
你也许不应该这么做!
为了绕过此保护,请在域控制器上添加以下注册表值:
Key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Name: "Allow System Only Change"
Type: DWORD
Value: 0x1
您可以使用 PowerShell 来实现此目的:
Set-ItemProperty HKLM:\System\CurrentControlSet\Services\NTDS\Parameters -Name "Allow System Only Change" -Value 1
现在您可以修改该 DC 上的 instanceType 属性值。使用 LDP.exe/dsa.msc 连接到该特定 DC,或使用-Server带有 Active Directory 模块 cmdlet 的参数。
请记住在进行更改后删除注册表项。