Недостатъчни права за достъп за извършване на операцията Powershell

Пиша прост скрипт за копиране на членство в AD група от един потребител на друг. Правя го само с помощта на модула ActiveDirectory.

Скриптът изглежда, че ще работи и работи, докато не се опитам да рекламирам групите към потребителя.

Код:

import-module ActiveDirectory
$templateUser = get-ADUser user1
$targetUser = getADUser user2

$groups =get-adprincipalgroupmembership $templateUser
$groups2 = get-ADPrincipalGroupMembership $targetUser

foreach($group in $groups) {
    add-adGroupMember $group $targetUser
}

грешка:

Add-ADGroupMember : insufficient access rights to performt the operation
At line:9 char:18
+ FullyQualifiedErrorID : Insufficient access rights to perform the operation,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember

Бележки/мисли:

Влязъл съм като нормален потребител, но стартирах powershell като различен потребител (моят администраторски акаунт). Не съм локален администратор, но съм администратор на домейна. Мога да добавя потребителя към групи, ако стартирам AD Tools и го направя ръчно (имам разрешения за добавяне към тези групи).

Редактиране:

Стартирайте powershell като администратор.


permissions powershell active-directory powershell-2.0
person Jeff    schedule 11.01.2013    source източник
comment
Powershell не се интересува от какво сте влезли. Това е под какъв акаунт работи Powershell. Работи ли Powershell като администратор?   -  person D3vtr0n    schedule 11.01.2013
comment
Пускам powershell като администраторски акаунт, не като администратор, ще го пробвам.   -  person Jeff    schedule 12.01.2013

Отговори (4)


arrow_upward
6
arrow_downward

Стартирайте powershell като администратор.

person Jeff    schedule 15.01.2013

arrow_upward
2
arrow_downward

Постигнах това днес в Server 2012. Работех с powershell като администратор, бях администратор на домейн, бях локален администратор, бях всякакъв вид администратор, който можех да намеря.

„Поправих“ го, като използвах инструмента за потребители и компютри на Active Directory, като се добавих като мениджър на AD групите, към които се опитвах да добавя потребители, и поставих отметка в квадратчето, за да позволя на мениджъра да промени членството. След това мога да стартирам AD-AddGroupMember щастливо.

person Dan F    schedule 21.05.2013
comment
Какво е мениджър на AD Group? - person JustAGuy; 29.06.2013
comment
@user1571299 - Раздел Управляван от в свойствата на групата - allcomputers.us/windows_server/ - person Dan F; 30.06.2013

arrow_upward
1
arrow_downward

Днес се натъкнах на този проблем, при който автоматизирана система използваше скриптове на powershell за различни неща.... Оказа се, че това е политика за изпълнение. Изпълнявахме нашия скрипт с флага ExecutionPolicy Bypass и дори изпълнението на командата директно в powershell извън скрипт нямаше да работи, но след като зададохме executionpolicy на unrestricted, всичко работи магически.

За нас успяхме дори да създадем групи за сигурност, но не и да добавим потребители към групи чрез powershell, въпреки че можехме да направим същите промени в ADUC.

person schizoid04    schedule 16.05.2019
comment
БЛАГОДАРЯ ТИ. Сблъскахме се с този проблем при извикване на PS от SQL (xp_cmdshell), въпреки че акаунтът на услугата SQL вече е в списъка с управлявани от членове за тази DBA AD група. Промяната от Bypass към Unrestricted проработи - person Jerry Hung; 20.06.2020

arrow_upward
0
arrow_downward

Сблъсках се и с този проблем, използвайки отдалечено управление на Powershell за свързване с домейн контролер.

В моя случай се оказа, че Include inheritable permissions from this object's parent е изключен за конкретния обект, който не можах да променя.

person johnbt    schedule 31.08.2016