locked
Résolu : PowerShell --.Set-ADUser : Droits d’accès insuffisants pour effectuer cette opération -- RRS feed

  • Question

  • Bonjour,

    Je dois exécuter un script powerShell pour modifier les attributs des utilisateurs AD sous 2012 R2.

    Le script fonctionne avec le compte administrateur du domaine d'origine 

    Mais lorsque je le fais avec un autre compte que j'ai crée et que j'ai mis les droits Admin du domaine , Enterprise et schéma alors j'obtiens :   " Droits d’accès insuffisants pour effectuer cette opération"

    j'ai désactivé l' UAC ; 

    Y a t 'il une différence entre le compte administrateur et un compte crée faisant partie des mêmes groupe.

    ou dois je faire la modification pour avoir le même niveau de privilège ?

    Merci de votre aide.


    • Modifié jdb972 jeudi 3 mars 2016 09:44 Résolu
    mercredi 2 mars 2016 17:49

Réponses

  • Il n'y a pas de raison de désactivé l'UAC, si vous avez besoin de droit étendue utilisé "exécuter en tant qu'administrateur".

    Par défaut l'admin du domaine dispose des droits de modification. 

    Pouvez-vous dans la console "utilisateurs et ordinateurs AD" activer et les fonctionnalités avancées (ce qui fera apparaître l'onglet sécurité). Vérifier que l'héritage des droits n'a pas été coupé et que le groupe admin du domaine dispose bien des droits. Vérifier également que votre compte administrateur n'est pas membre d'un groupe sur lequel un refus a été configuré.

    Un autre compte créé membre du groupe admins du domaine devrait disposer du droit de modification.

    Vous avez plusieurs domaine ? plusieurs DC ?

    dcdiag à vérifier...


    mercredi 2 mars 2016 21:26
  • Bonjour,

    il y a une petite différence de traitement de l'UAC pour le compte "administrateur"... Cette différence apparaît d'ailleurs dans la stratégie, en évitant les validations usuelles pour le compte administrateur (et uniquement pour ce compte).

    Toujours est-il que la solution à ce type de problème de droit est parfois assez simple !

    => Il faut lancer PowerShell en mode "Administrateur", sinon certaines opérations "de modification" (AD, Exchange, ...) seront tous simplement refusées... quels que soient les droits de l'utilisateur...

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 3 mars 2016 09:24

Toutes les réponses

  • Il n'y a pas de raison de désactivé l'UAC, si vous avez besoin de droit étendue utilisé "exécuter en tant qu'administrateur".

    Par défaut l'admin du domaine dispose des droits de modification. 

    Pouvez-vous dans la console "utilisateurs et ordinateurs AD" activer et les fonctionnalités avancées (ce qui fera apparaître l'onglet sécurité). Vérifier que l'héritage des droits n'a pas été coupé et que le groupe admin du domaine dispose bien des droits. Vérifier également que votre compte administrateur n'est pas membre d'un groupe sur lequel un refus a été configuré.

    Un autre compte créé membre du groupe admins du domaine devrait disposer du droit de modification.

    Vous avez plusieurs domaine ? plusieurs DC ?

    dcdiag à vérifier...


    mercredi 2 mars 2016 21:26
  • Bonjour,

    il y a une petite différence de traitement de l'UAC pour le compte "administrateur"... Cette différence apparaît d'ailleurs dans la stratégie, en évitant les validations usuelles pour le compte administrateur (et uniquement pour ce compte).

    Toujours est-il que la solution à ce type de problème de droit est parfois assez simple !

    => Il faut lancer PowerShell en mode "Administrateur", sinon certaines opérations "de modification" (AD, Exchange, ...) seront tous simplement refusées... quels que soient les droits de l'utilisateur...

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 3 mars 2016 09:24
  • Merci de vos retours.  Même si j'en étais persuadé je n'avais finalement pas  ouvert mon PowerShell "En tant qu'administrateur".

    Ce matin j'ai refait le test et ça fonctionne.


    jeudi 3 mars 2016 09:43