Powershell：设置 AD DS 对象的所有者失败

我想在Set-ACLAD DS 对象¹上运行“域管理员”在我构建的 ACL 对象中设置为所有者。代码基本上如下所示²：

Function SetDSAcl {
       Param (
        [Microsoft.ActiveDirectory.Management.ADObject]$targetObject   # target object
    )

    $targetACL = Get-Acl "AD:\$($targetObject.DistinguishedName)"
    # [some voodoo to get the values for my new ACE]
    # Create a new AccessRule using the object constructor
    # $newAce = New-Object System.DirectoryServices.ActiveDirectoryAccessRule([...])

    # Add the generated ACE to target's ACL
    $targetAcl.AddAccessRule($newAce)

    # Persist the changed ACL to the object
    Set-ACL -AclObject $targetAcl "AD:\$($targetObject.DistinguishedName)"
}

但是，当在 Server 2008 R2 DC（Powershell v5）上执行代码时，Set-ACL 调用返回此错误：

Set-ACL : This security ID may not be assigned as the owner of this object

或者当使用相同的安全主体从 Server 2012 R2 管理站（Powershell v4）运行它时出现更通用的“访问被拒绝”异常：

Set-ACL : Access is denied

我甚至没有改变在这种特殊情况下，所有者是所有者，但显然 Set-ACL 只是重写整个安全描述符。

“修改权限”和“修改所有者”已在目标对象上明确设置，我完全能够使用 gpmc.msc GUI 将此对象的所有者更改为我想要的任何所有者，无论是在 DC 还是在管理站上，因此这不是一个明显的权限问题。另一方面，我还看到代码在由属于域管理员团体。

我使用的帐户故意没有“域管理员”成员身份（而是“BUILTIN\Server Admins”组的成员），但需要能够自由设置对象的所有者。我看到MSDN 文章介绍了此错误消息建议“了解您有权指定哪些用户和组为所有者”，这对我的情况没有帮助。

那么我做错了什么？

---

¹在我的例子中是 GPO，但对象的类型并不那么重要，例如，我也看到过它发生在 OU 中。

²该Set-Acl -AclObject $targetAcl -Path "AD:\$($targetObject.DistinguishedName)"调用看起来像是黑客行为，事实也确实如此。我无法像预期的那样直接传递给-InputObject $targetObject实现该方法的对象类型，而 [Microsoft.ActiveDirectory.Management.ADObject] 出于某些神秘原因并未这样做。Set-ACLInputObjectSetSecurityDescriptor