为什么我的用户帐户无法在 Powershell 中删除 AD 计算机?

为什么我的用户帐户无法在 Powershell 中删除 AD 计算机?

我已经Computer在 中创建了一个帐户OU=AutoCreatedVMs,OU=Computer。我已允许 AD 组Join-Move-Delete VMs在 OU AutoCreatedVMs 中创建/删除计算机对象:

AutoCreatedVMs OU 权限的屏幕截图

我有一个名为 的帐户svc_jenkins,并使其成为 AD 组的成员Join-Move-Delete VMs

当我以以下身份登录时,我无法从该 OU 中删除虚拟机svc_jenkins

PS C:\> gci env:username

Name                           Value
----                           -----
USERNAME                       svc_jenkins


PS C:\> Get-ADComputer test


DistinguishedName : CN=test,OU=AutoCreatedVMs,OU=Computer,DC=duck,DC=loc
DNSHostName       :
Enabled           : True
Name              : test
ObjectClass       : computer
ObjectGUID        : 7dd3b09a-d079-467a-b69f-90a2e30c363d
SamAccountName    : TEST$
SID               : S-1-5-21-1075642099-280362434-2919291742-3630
UserPrincipalName :



PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False
Remove-ADComputer : Access is denied
At line:1 char:21
+ Get-ADComputer test|Remove-ADComputer -Confirm:$False
+                     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (CN=test,OU=Auto...,DC=duck,DC=loc:ADComputer) [Remove-ADComputer], Un
   authorizedAccessException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
   ement.Commands.RemoveADComputer

知道我做错了什么吗?域控制器是 Windows Server 2012 R2。

更新20 分钟后我再次尝试,成功了。其他什么都没有改变。

答案1

如果将 Powershell 添加到组时,Powershell 已经作为服务帐户运行,则该组成员身份将不适用于该会话。当它正常工作时,您是否稍后打开了一个新的 Powershell 会话?

答案2

您有多个域控制器?

我的猜测是,在安全设置被复制之前,MMC 连接到了一个 DC,而你(或 powershell)试图删除另一个 DC 上的计算机对象。

当您 20 分钟后尝试时,系统会复制并授予您权限。

相关内容