我正在编写一个简单的脚本,将AD组成员资格从一个用户复制到另一个用户。我这样做只使用ActiveDirectory模块。
该脚本看起来会起作用,并且在我尝试将这些组广告给用户之前一直有效。
代码:
import-module ActiveDirectory
$templateUser = get-ADUser user1
$targetUser = getADUser user2
$groups =get-adprincipalgroupmembership $templateUser
$groups2 = get-ADPrincipalGroupMembership $targetUser
foreach($group in $groups) {
add-adGroupMember $group $targetUser
}
错误:
Add-ADGroupMember : insufficient access rights to performt the operation
At line:9 char:18
+ FullyQualifiedErrorID : Insufficient access rights to perform the operation,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember
注释/思想:
我以普通用户身份登录,但我将powershell作为其他用户(我的管理员帐户)运行。我不是本地管理员,但我是域名管理员。如果我启动AD工具并手动执行,我可以将用户添加到组(我有权添加到这些组)。
编辑:
以管理员身份运行powershell。
答案 0 :(得分:5)
以管理员身份运行powershell。
答案 1 :(得分:2)
我今天在Server 2012中点击了这个。我以管理员身份运行powershell,我是域管理员,我是本地管理员,我是我能找到的各种管理员。
我通过使用Active Directory用户和计算机工具“修复”它,将我自己添加为我尝试添加用户的AD组的管理员,并勾选该框以允许管理员更改成员资格。然后我可以愉快地运行AD-AddGroupMember。
答案 2 :(得分:0)
我也遇到了这个问题,使用Powershell远程连接来连接到域控制器。
就我而言,事实证明Include inheritable permissions from this object's parent
因特定对象而无法更改。
答案 3 :(得分:0)
我今天遇到了一个问题,其中一个自动化系统正在使用Powershell脚本执行各种操作。...事实证明这是执行策略。 我们正在使用ExecutionPolicy Bypass标志运行脚本,甚至直接在脚本外部的Powershell中运行命令也行不通,但是一旦将executepolicy设置为Unrestricted,一切都会正常运行。
对我们来说,即使我们可以在ADUC中进行相同的更改,我们也可以创建安全组,但不能通过powershell将用户添加到组中。