为什么我被告知权限不足,尽管我的用户是 Azure 中的 AAD DC 管理员成员 - 我认为这是对计算机帐户进行更新的要求
最终我发现我需要将我的用户添加到该组
当我最终运行 sudo realm join --verbose CONTOSO100.COM -U '[电子邮件保护]' --安装=/
Calculated computer account: CN=CONTOSO-UBUNTU,OU=AADDC Computers,DC=
contoso100,DC=com
! Insufficient permissions to modify computer account: CN=CONTOSO-
UBUNTU,OU=AADDC Computers,DC= contoso100,DC=com: 000020E7: AtrErr:
DSID-031530D8, #1:
0: 000020E7: DSID-031530D8, problem 1005 (CONSTRAINT_ATT_TYPE), data 0,
Att 90008 (userAccountControl):len 4
adcli: joining domain contoso100.com failed: Insufficient permissions
to modify computer account: CN=CONTOSO-UBUNTU,OU=AADDC Computers,DC=
contoso100,DC=com: 000020E7: AtrErr: DSID-031530D8, #1:
0: 000020E7: DSID-031530D8, problem 1005 (CONSTRAINT_ATT_TYPE), data 0,
Att 90008 (userAccountControl):len 4
! Insufficient permissions to join the domain
realm: Couldn't join realm: Insufficient permissions to join the domain
发生的奇怪的事情:
当为新用户运行 kinit 时,它会要求我输入密码,但总是返回
kinit: Preauthentication failed while getting initial credentials
如果我输入空白密码,它会提示密码已过期并允许我输入新密码。之后我可以使用新密码进行身份验证,但此密码现在与我用于登录 Azure 的密码不同。这告诉我,我甚至不能确定它是否是同一个链接用户。但它肯定在 AD 中检查我的用户帐户,因为如果我输入一个不存在的帐户,它会告诉我找不到该帐户