Почему моя учетная запись пользователя не может удалить компьютер AD в Powershell?
Я создал Computer счет в OU=AutoCreatedVMs,OU=Computer. Я разрешил группе AD Join-Move-Delete VMs для создания / удаления объектов Computer в OU AutoCreatedVMs:
У меня есть аккаунт под названием svc_jenkins и сделал его членом AD Group Join-Move-Delete VMs.
Я не могу удалить виртуальные машины из этого подразделения при входе в систему как svc_jenkins:
PS C:\> gci env:username
Name Value
---- -----
USERNAME svc_jenkins
PS C:\> Get-ADComputer test
DistinguishedName : CN=test,OU=AutoCreatedVMs,OU=Computer,DC=duck,DC=loc
DNSHostName :
Enabled : True
Name : test
ObjectClass : computer
ObjectGUID : 7dd3b09a-d079-467a-b69f-90a2e30c363d
SamAccountName : TEST$
SID : S-1-5-21-1075642099-280362434-2919291742-3630
UserPrincipalName :
PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False
Remove-ADComputer : Access is denied
At line:1 char:21
+ Get-ADComputer test|Remove-ADComputer -Confirm:$False
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : PermissionDenied: (CN=test,OU=Auto...,DC=duck,DC=loc:ADComputer) [Remove-ADComputer], Un
authorizedAccessException
+ FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
ement.Commands.RemoveADComputer
Есть идеи, что я сделал не так? Контроллер домена - Windows Server 2012 R2.
ОБНОВИТЬ Я попробовал еще раз через 20 минут, и это сработало. Больше ничего не изменилось.
Если бы Powershell уже работал как учетная запись службы, когда вы добавляли ее в группу, членство в этой группе не применялось бы к этому сеансу. Возможно, вы открывали новый сеанс Powershell позже, когда он работал?
У вас более одного контроллера домена?
Я предполагаю, что MMC была подключена к одному DC, а вы (или PowerShell) пытались удалить объект компьютера на другом, как раз перед репликацией настроек безопасности.
Когда вы попытались через 20 минут, оно было воспроизведено, предоставив вам разрешение.