Question

问候每个人，

希望有人能够快速了解，但我使用PowerShell命令Remove-CMDevice在服务帐户上获取访问权限。此过程如此处所述，https://technet.microsoft.com/en-us/library/jj821759(v=sc.20).aspx

该帐户有权从SCCM中删除设备，这可以通过GUI而不是命令行正常工作。我无法通过命令行找到帐户需要执行此操作的权限的文档，它可以在GUI中手动运行。

如果有人能说清楚这一点会很棒，我确实希望将此服务帐户保留为尽可能少的权限。

非常感谢，

编辑添加图片如下，

Answer 1

经过大量测试后，在使用PowerShell控制台删除CM系统对象时，我在这里找到了权限部分的答案。当然症状是相同的：帐户可以从管理控制台删除，但是，使用PowerShell时，它失败并显示“权限”错误消息。

执行 Remove-CMDevice cmdlet的帐户必须在对象上具有正确的 RBA权限。假设安全范围是默认范围，连接到Configuration Manager控制台的帐户必须低于RBA权限，我测试的权限几乎是最小权限：

在集合部分的屏幕截图中，权限易于理解，阅读，删除资源等。

对于计算机协会部分，您可能会感到困惑，为什么？

我执行了问题排查的步骤：

我使用我的测试帐户打开了连接到Configuration Manager的PowerShell控制台，并运行以下命令来查看将会发生什么：

Remove-CMDevice 'Rsuraceccc' -Verbose

我得到以下错误：

是的，它正在尝试从 SMS_StateMigration 查询。然后我尝试运行一个简单的命令：

Get-WMIObject -NameSpace root\sms\site_clt -Query 'Select * from SMS_StateMigration'

再次，我得到了错误。因此，我得出结论，该帐户需要 SMS_StateMigration 上的权限。所以我在角色上添加了'恢复用户状态'的计算机关联权限，并再次尝试，欢呼，这次所有命令都成功运行。

我不知道它为什么使用 SMS_StateMigration ，但这就是这种情况。