Question

我尝试在我的AD中添加en元素（在Windows服务器2012 R2中），在本例中为OU。

dn: OU=Utilisateurs,DC=ad2012,DC=local
objectClass: top
objectClass: organizationalUnit
ou: Utilisateurs
distinguishedName: OU=Utilisateurs,DC=ad2012,DC=local
instanceType: 4
whenCreated: 20100505144625.0Z
whenChanged: 20160228202724.0Z
uSNCreated: 20604
uSNChanged: 3216001
name: Utilisateurs
objectGUID:: 9ulxzk4nGEiW6/dQ+SENDA==
objectCategory: CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=ad2012,DC=local
dSCorePropagationData: 20160215205431.0Z
dSCorePropagationData: 16010101000001.0Z

我使用Unix命令来添加这个元素：

ldapadd \
    -H ldaps://XXX.XXX.XXX.XXX:636 \
    -D "Admin@ad2012.local" \
    -w "XXXX" \
    -f testAdd

（我也试过没有SSL）我每次尝试都会遇到这个错误：

添加新条目＆＃34; OU = Utilisateurs，DC = ad2012，DC = local＆＃34; ldap_add：服务器不愿意执行（53）附加信息：000020E7：SvcErr：DSID-031531BE，问题5003（WILL_NOT_PERFORM），数据0

ERROR_DS_SECURITY_ILLEGAL_MODIFY
8423 (0x20E7)
The modification was not permitted for security reasons.

我不知道如何解决我的问题...我实现提取AD的数据，并添加用户。用于添加元素的帐户是管理员。

Answer 1

你应该只使用：

dn: OU=Utilisateurs,DC=ad2012,DC=local
objectClass: top
objectClass: organizationalUnit
ou: Utilisateurs

也许，取决于您创建条目的方式： instanceType：4

以下所有内容通常被视为系统（操作）属性，不应包含在添加内：

distinguishedName: OU=Utilisateurs,DC=ad2012,DC=local
whenCreated: 20100505144625.0Z
whenChanged: 20160228202724.0Z
uSNCreated: 20604
uSNChanged: 3216001
name: Utilisateurs
objectGUID:: 9ulxzk4nGEiW6/dQ+SENDA==
objectCategory: CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=ad2012,DC=local
dSCorePropagationData: 20160215205431.0Z
dSCorePropagationData: 16010101000001.0Z

-Jim

Answer 2

我只需删除“objectGUID”行... 在提问后40分钟搜索了4个小时并找到了解决方案...

LDAP添加元素错误0x20E7

2 个答案: