我试图设置一个Powershell脚本来自动添加一些用户到AD组。 当我尝试添加用户时,出现以下错误:
Add-ADGroupMember : Insufficient access rights to perform the operation At line:1 char:1 + Add-ADGroupMember -Identity "Workfront_Users" -Member $FoundUser.SamA ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : NotSpecified: (Workfront_Users:ADGroup) [Add-ADGroupMember], ADException + FullyQualifiedErrorId : Insufficient access rights to perform the operation,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember 我有能力将用户添加到组,并且我已经确认在组上有ActiveDirectoryRights:WriteProperty。
当我向一位同事提出这个问题时,他们向我展示了通过RDP连接到其中一个数据中心并使用用户和群组工具通过GUI添加用户的“添加用户到群组”的“正确”方式。 如果我这样做,我可以添加用户,但我希望能够自动化的过程。
我这样解释的方式是,即使用户拥有正确的权限,修改AD组的能力也受到某些机器的限制(甚至对DC本身也是如此)。 我的问题是:这是一个可以存在的限制吗? 我不太了解AD的安全configuration,所以我可能会制定一些实际上不存在的安全策略。
AD没有这样的限制。 你可以尝试几件事情:仔细检查脚本的语法,直接在DC上尝试,升级到最新的PowerShell版本等。