我正在使用脚本来帮助禁用帐户。我正试图克服此错误:
Disable-ADAccount : The server is unwilling to process the request
At line:1 char:88
+ ... ad Steve"' -SearchBase "" -Server 10.10.2.225:3268 | Disable-ADAccount
+ ~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (CN=Brad Steve...DC=lando,DC=com:ADUser) [Disable-ADAccount], ADInvalidOperationException
+ FullyQualifiedErrorId : ActiveDirectoryServer:8245,Microsoft.ActiveDirectory.Management.Commands.DisableADAccount
代码如下:
Get-ADUser -Filter 'Name -like "Brad Steve"' -SearchBase "" -Server 10.10.2.225:3268 | Disable-ADAccount
有什么想法吗?
答案 0 :(得分:0)
我能够尝试通过使用特权级别较低的帐户禁用域管理员帐户来重现此问题。我认为这是因为您要禁用的帐户是特权帐户(可能是域管理员或其他人),而用于禁用该帐户的帐户没有权限这样做。
有一个名为adminCount的属性,您可以使用类似以下内容的方法查看:
Get-ADUser <UserName -Properties adminCount | fl
如果adminCount为1,则AD会认为这是一个特权帐户,而与实际特权无关。 AD中有一个后台程序(SDPROP),可通过从AdminSDHolder容器复制ACL并强制执行复制来保护高特权帐户。即使将帐户从特权组中删除,adminCount通常也将保持为1。
当然,如果该帐户确实具有特权,那么您将得到应有的错误。
您是否有理由追求GC?通常,我通常将PDC模拟器作为此类目标。
让我知道您的想法。