Эта проблема: Я не могу предоставить учетной записи компьютера разрешения на добавление групп в OU, добавив эту учетную запись компьютера в группу безопасности, которой было предоставлено разрешение на добавление групп в это OU.
Причина: В нашей среде ресурсы всегда предоставляются пользователям с помощью групп ролей. Ресурс здесь - это разрешение на конкретное подразделение, которое предоставляется локальной группе безопасности домена. Роль - это глобальная группа безопасности, а пользователь - это учетная запись компьютера. Причина, по которой пользователь является учетной записью компьютера, заключается в том, что сценарий, для которого требуются разрешения, выполняется под учетной записью SYSTEM на этом сервере.
Установка:
Что я уже тестировал:
Что я хочу:
Итак, я нашел решение благодаря комментарию Грега Аскью.
Кроме того, если вы добавляете компьютер в группу, он не принимает членство в группе до тех пор, пока компьютер не будет перезагружен или ключ Kerberos TGT не будет очищен и перезагружен. - @GregAskew
Я очистил ключ Kerbros системной учетной записи, используя PsExec и команда klist
Я вошел в интерактивный системный сеанс, а затем очистил ключ Kerbros.
PsExec.exe -s -i powershell.exe
klist purge
Я предпочел этот метод перезапуску, поскольку перезапуск сервера не всегда возможен.
Мне очень помогло то, из чего было написано название. Я проделал нечто подобное только с кластером, и, когда я читал о TGT, это имеет смысл, я просто назначил группу и перезапустил кластерный CNO, и это сработало, я был немного не уверен, нужно ли перезапускать компьютеры.