是否可以将 AD 组成员身份的修改限制到特定的计算机/IP?

是否可以将 AD 组成员身份的修改限制到特定的计算机/IP?

我正在尝试设置一个 Powershell 脚本,以便按计划自动将一些用户添加到 AD 组。当我尝试添加用户时,出现以下错误:

Add-ADGroupMember : Insufficient access rights to perform the operation
At line:1 char:1
+ Add-ADGroupMember -Identity "Workfront_Users" -Member $FoundUser.SamA ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (Workfront_Users:ADGroup) [Add-ADGroupMember], ADException
    + FullyQualifiedErrorId : Insufficient access rights to perform the operation,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember

我确实有能力将用户添加到该组,并且我已确认我在该组上拥有 ActiveDirectoryRights:WriteProperty。

当我向同事提出这个问题时,他们向我展示了将用户添加到组的“正确”方法,即通过 RDP 连接到其中一个 DC,然后使用用户和组工具通过 GUI 添加人员。如果我这样做,我就可以添加用户,但我希望能够自动执行该过程。

我对此的解释是,即使用户拥有正确的权限,修改 AD 组的能力也受到某种限制,仅限于某些计算机(或者甚至仅限于 DC 本身)。我的问题是:这种限制真的存在吗?我不太了解 AD 的安全配置,所以我可能制定了实际上不存在的安全策略。

答案1

AD 没有这样的限制。您可以尝试以下几件事:仔细检查脚本的语法,直接在 DC 上尝试,升级到最新的 powershell 版本等。

相关内容