Powershell：为AD DS对象设置所有者失败

我想在AD DS对象¹上运行Set-ACL ，将“Domain Admins”设置为我构build的ACL对象中的所有者。 代码看起来基本上是这样的² ：

 Function SetDSAcl { Param ( [Microsoft.ActiveDirectory.Management.ADObject]$targetObject # target object ) $targetACL = Get-Acl "AD:\$($targetObject.DistinguishedName)" # [some voodoo to get the values for my new ACE] # Create a new AccessRule using the object constructor # $newAce = New-Object System.DirectoryServices.ActiveDirectoryAccessRule([...]) # Add the generated ACE to target's ACL $targetAcl.AddAccessRule($newAce) # Persist the changed ACL to the object Set-ACL -AclObject $targetAcl "AD:\$($targetObject.DistinguishedName)" } 

但是，在Server 2008 R2 DC（Powershell v5）上执行代码时，Set-ACL调用会返回此错误：

 Set-ACL : This security ID may not be assigned as the owner of this object 

或者在使用相同的安全主体从Server 2012 R2pipe理工作站（Powershell v4）运行时出现更一般的“访问被拒绝”exception：

 Set-ACL : Access is denied 

我甚至没有在这个特殊情况下更改所有者，但显然，Set-ACL只是重写整个安全描述符。

• 以正确的方式使Unix的Microsoft身份pipe理日落
• 在Windows Server 2012中过期的密码事件ID
• 在OpenLDAP中存储委托权限的最佳实践是什么？
• 最好的做法，以消除直stream站点不再通过vpn连接在另一个城市
• 你可以使用AD LDS（ADAM）帐户validationSSAS吗？

“修改权限”和“修改所有者”已经被明确地设置在目标对象上，并且我完全能够使用gpmc.msc GUI将这个对象的所有者改变为在DC和pipe理站上的任何我想要的这不是一个明显的权限问题。 另一方面，我也看到，代码正在由Domain Admins组成员的用户运行。

我使用的帐户故意缺less“域pipe理员”成员本身（它是“BUILTIN \服务器pipe理员”组的成员），但需要自由地设置对象的所有者。 我看到MSDN文章中涉及这个错误信息是build议“了解哪些用户和组有权利指定为所有者” ，这在我的情况下是没有帮助的。

那么我做错了什么？

¹在我的情况下GPO，但对象的types并不重要，我也看到它发生在OU，例如。

² Set-Acl -AclObject $targetAcl -Path "AD:\$($targetObject.DistinguishedName)"调用看起来像一个黑客，它确实是。 我不能将-InputObject $targetObject传递给Set-ACL因为InputObject需要一个实现SetSecurityDescriptor方法的对象types，[Microsoft.ActiveDirectory.Management.ADObject]由于一些神秘原因而没有做。

 $adsiTarget = [adsi]"LDAP://$($targetObject.DistinguishedName)" $idRef = New-Object System.Security.Principal.NTAccount("CONTOSO", "Domain Admins") $adsiTarget.PSBase.ObjectSecurity.SetOwner($idRef) $adsiTarget.PSBase.CommitChanges() 

 Exception calling "CommitChanges" with "0" argument(s): "A constraint violation occurred.