Недостаточно прав доступа для выполнения операции Powershell

Я пишу простой скрипт для копирования членства в группе AD от одного пользователя к другому. Я делаю это только с помощью модуля ActiveDirectory.

Сценарий выглядит так, как будто он работает и работает до тех пор, пока я не попытаюсь объявить группы пользователю.

Код:

import-module ActiveDirectory
$templateUser = get-ADUser user1
$targetUser = getADUser user2

$groups =get-adprincipalgroupmembership $templateUser
$groups2 = get-ADPrincipalGroupMembership $targetUser

foreach($group in $groups) {
    add-adGroupMember $group $targetUser
}

Ошибка:

Add-ADGroupMember : insufficient access rights to performt the operation
At line:9 char:18
+ FullyQualifiedErrorID : Insufficient access rights to perform the operation,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember

Примечания/мысли:

Я вошел в систему как обычный пользователь, но я запустил powershell как другой пользователь (моя учетная запись администратора). Я не локальный админ, но я админ в домене. Я могу добавить пользователя в группы, если запущу инструменты AD и сделаю это вручную (у меня есть права на добавление в эти группы).

Редактировать:

Запустите powershell от имени администратора.


permissions powershell active-directory powershell-2.0
person Jeff    schedule 11.01.2013    source источник
comment
Powershell не волнует, как вы вошли в систему. Это то, под какой учетной записью работает Powershell. Powershell работает от имени администратора?   -  person D3vtr0n    schedule 11.01.2013
comment
Я запускаю powershell от имени администратора, а не от имени администратора, попробую.   -  person Jeff    schedule 12.01.2013

Ответы (4)


arrow_upward
6
arrow_downward

Запустите powershell от имени администратора.

person Jeff    schedule 15.01.2013

arrow_upward
2
arrow_downward

Я столкнулся с этим сегодня в Server 2012. Я запускал powershell от имени администратора, я был администратором домена, я был локальным администратором, я был любым администратором, которого только мог найти.

Я «исправил» это с помощью инструмента «Пользователи и компьютеры Active Directory», добавив себя в качестве менеджера групп AD, в которые я пытался добавить пользователей, и установил флажок, чтобы разрешить менеджеру изменять членство. Тогда я мог бы с удовольствием запустить AD-AddGroupMember.

person Dan F    schedule 21.05.2013
comment
Что такое менеджер группы объявлений? - person JustAGuy; 29.06.2013
comment
@user1571299 — вкладка «Управляется» в свойствах группы — allcomputers.us/windows_server/ - person Dan F; 30.06.2013

arrow_upward
1
arrow_downward

Сегодня я столкнулся с этой проблемой, когда автоматизированная система использовала сценарии powershell для разных целей... Это оказалось политикой выполнения. Мы запускали наш скрипт с флагом обхода ExecutionPolicy, и даже запуск команды непосредственно в powershell вне скрипта не работал, но как только мы установили политику выполнения на неограниченную, все волшебным образом заработало.

Для нас мы смогли даже создать группы безопасности, но не добавлять пользователей в группы через powershell, хотя мы могли сделать те же самые изменения в ADUC.

person schizoid04    schedule 16.05.2019
comment
БЛАГОДАРЮ ВАС. Мы столкнулись с этой проблемой при вызове PS из SQL (xp_cmdshell), несмотря на то, что учетная запись службы SQL уже находится в списке участников, управляемых этой группой AD DBA. Переход с обхода на неограниченный сработал - person Jerry Hung; 20.06.2020

arrow_upward
0
arrow_downward

Я также столкнулся с этой проблемой, используя удаленное взаимодействие Powershell для подключения к контроллеру домена.

В моем случае оказалось, что Include inheritable permissions from this object's parent был отключен для конкретного объекта, который я не мог изменить.

person johnbt    schedule 31.08.2016