我的 AD 根目录中有类似这样的 OU 文件夹:
AA
--AB
BA
所有这些 OU 都包含计算机帐户。我有一台位于 BA 的计算机,我想将其移至 AB。我使用的凭据不是域管理员凭据,对资源的访问权限非常有限。这些凭据对 AA、AB 和 BA 具有完全访问权限。
如果我的计算机处于 BA 状态并且我发出以下 powershell 命令:
Move-ADObject -Identity $myComp -TargetPath "OU=AB,DC=contoso,DC=com" -Credentials $myCred
然后它失败并显示“访问被拒绝”。但是,如果完全相同的计算机帐户驻留在 AA 中,则此语句可以正常工作。我也可以毫无问题地将其从 AB 移动到 BA。我已经验证了所有 OU 都没有打开防止意外删除选项。我可以在 AA 和 AB 之间来回移动,只是无法从具有不同根的 OU 移动到那里。
我想不出还有什么可以诊断的方法。因此,我请求大家提供意见,看看是否有人知道如何诊断正在发生的事情,也许还能找到拒绝访问的来源。
答案1
事实证明,创建计算机对象和删除计算机对象并不是实现此功能所需的全部权限。您还需要具有通用名称 ({bf96793f-0de6-11d0-a285-00aa003049e2}) 或公共信息 ({e48d0154-bcf8-11d1-8702-00c04fb96050}) 的写入属性。我看不出有办法操纵写入通用名称权限,因此允许写入公共信息似乎是最低权限选项。
如果您要从低权限帐户创建新的计算机对象,最简单的方法是为 OU 创建适用于后代计算机对象的 ACE,并授予撰写公开信息特权(根据特性:在 Windows Server 2012 R2 ACE 编辑器 UI 中,但前提是限制后代计算机对象)到低权限帐户。此权限允许更改名称,以及创建计算机对象在目标 OU 上删除计算机对象在源 OU 上,应该允许 Move-ADObject cmdlet 按预期运行。