Por que minha conta de usuário não pode remover um computador AD no Powershell?

3

Eu criei uma conta Computer em OU=AutoCreatedVMs,OU=Computer . Eu permiti que o grupo do AD Join-Move-Delete VMs criasse / excluísse objetos do computador em AutoCreatedVMs da UO:

Eu tenho uma conta chamada svc_jenkins e fiz dela um membro do AD Group Join-Move-Delete VMs .

Não consigo excluir VMs dessa unidade organizacional quando conectado como svc_jenkins :

PS C:\> gci env:username

Name                           Value
----                           -----
USERNAME                       svc_jenkins


PS C:\> Get-ADComputer test


DistinguishedName : CN=test,OU=AutoCreatedVMs,OU=Computer,DC=duck,DC=loc
DNSHostName       :
Enabled           : True
Name              : test
ObjectClass       : computer
ObjectGUID        : 7dd3b09a-d079-467a-b69f-90a2e30c363d
SamAccountName    : TEST$
SID               : S-1-5-21-1075642099-280362434-2919291742-3630
UserPrincipalName :



PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False
Remove-ADComputer : Access is denied
At line:1 char:21
+ Get-ADComputer test|Remove-ADComputer -Confirm:$False
+                     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : PermissionDenied: (CN=test,OU=Auto...,DC=duck,DC=loc:ADComputer) [Remove-ADComputer], Un
   authorizedAccessException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
   ement.Commands.RemoveADComputer

Alguma idéia do que eu fiz de errado? O controlador de domínio é o Windows Server 2012 R2.

UPDATE Tentei novamente 20 minutos depois e funcionou. Nada mais mudou.

    
por Mark Allison 02.01.2017 / 14:38

2 respostas

2

Se o Powershell já estivesse sendo executado como a conta de serviço quando você o adicionasse ao grupo, essa participação no grupo não se aplicaria a essa sessão. Você talvez tenha aberto uma nova sessão do Powershell mais tarde, quando funcionou?

    
por 02.01.2017 / 18:11
1

Você tem mais de um controlador de domínio?

Meu palpite é que o MMC estava conectado a um DC e você (ou o powershell) tentou remover o objeto do computador do outro, pouco antes de a configuração de segurança ser replicada.

Quando você tentou 20 minutos depois, foi replicado concedendo a você a permissão.

    
por 02.01.2017 / 16:47