“权限被拒绝”创build一个新的基于域的Dfs根作为非pipe理员

我负责将我们域中的许多日常任务委派给一组没有Domain Admins成员资格的技术人员。 其中一项任务是创build新的基于域的Dfs根（Server 2008 R2 Enterprise DC）。 而这就是我卡住的地方。

呃c0de

这基本上只是试图创build一个基于域的Dfs根目录，使用一个任意的（首先在列表中）域控制器作为第一名字空间服务器：

 $DfsnRootName="test" $DCList = Get-ADDomainController -Filter * | ForEach-Object { ,$_.HostName } New-DfsnRoot -Path "\\domain.contoso.com\$DfsnRootName" -TargetPath "\\$($DCList[0])\$dfsnRootName" ` -Description "Dfs-Root für $DfsnRootName" -EnableAccessBasedEnumeration $true -Type DomainV2 $DCList | ForEach-Object { New-DfsnRootTarget -Path "\\domain.contoso.com\$DfsnRootName" ` -TargetPath "\\$_\$dfsnRootName" -State Online } 

呃er​​r0r

上面的代码抛出了一个exception，提到缺less对CIM资源的访问。 在CategoryInfo中给出的pathROOT\Microsoft\Windows\DFSN\MSFT_DFSNamespace看起来像一个WMIpath：

 New-DfsnRoot : Access to a CIM resource was not available to the client. At line:1 char:1 + New-DfsnRoot -Path "\\domain.contoso.com\$DfsnRootName" -TargetPath "\\$($DCList ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : PermissionDenied: (MSFT_DFSNamespace:ROOT\Microsoft\...FT_DFSNamespace) [New-DfsnRoot], CimException + FullyQualifiedErrorId : MI RESULT 2,New-DfsnRoot PS Z:\> $Error[0].CategoryInfo Category : PermissionDenied Activity : New-DfsnRoot Reason : CimException TargetName : MSFT_DFSNamespace TargetType : ROOT\Microsoft\Windows\DFSN\MSFT_DFSNamespace 

无奈的尝试：

我有通过整个域的Dfs控制台的“委托pipe理权限”：

• 现有的Azure AD Connect /现有AD：同步？
• 需要帮助从PowerShell创build报告
• Active Directory林复制之间的最大“健康”时间量
• 我在哪里可以find正在添加到计算机的事件日志，或从域中断开/删除？
• 将AD从多个本地服务器同步到Office 365

这实际上只是为添加的主体添加一个“完全控制”ACE到CN=Dfs-Configuration,CN=System AD容器。

并且，当我在使用dfsmgmt.msc的“添加Dfs根”向导的服务控制pipe理器上收到错误dfsmgmt.msc ，我使用了sc sdset scmanager来操作SDDLstring，使用“KA”（密钥访问）权限，类似于缺省情况下存在的BUILTIN\Administrators ACE。

这样，我可以使用“添加Dfs根”向导来遍历所有步骤，但创build根目录本身仍然失败 – “名称空间服务器\ ADSRV0 \ Test不能添加访问被拒绝”

W00t？