Необходимо изменить objectid объекта пользователя AD LDS

Question

Я немного застрял со следующей командой в экземпляре служб Active Directory облегченного доступа к каталогам:

try
{
New-AdObject -Server $ADLDSServer -Name $($person.CN) -OtherAttributes @{'ObjectSid' = $($ADUser.objectSID) } -Path "OU=users,dc=domain,dc=test" -Type CompanyPerson -Verbose -Instance $person
}

Это часть сценария, который создает новый объект и добавляет objectid из целевого домена. Это работало с фильтром *, и я изменил только несколько параметров, чтобы протестировать его для одного пользователя.

Теперь я получаю следующую ошибку:

VERBOSE: Performing the operation "New" on target "OU=users,dc=domain,dc=test".
WARNING: The modification was not permitted for security reasons
D:\scripts\ObjectSID.PS1 : The modification was not permitted for security reasons
    + CategoryInfo          : NotSpecified: (:) [Write-Error], WriteErrorException
    + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteErrorException,UpdateObjectSID.PS1

Я получил разрешения для этого экземпляра и папок, поэтому я не думаю, что это проблема с разрешениями. Кто-нибудь знаком с этой проблемой и знает, как ее решить, пожалуйста?

Спасибо

Answer 1

Я наконец-то решил эту проблему и нашел ее. Я выбрал тот же класс объектов "CompanyPerson", который использовался при подготовке пользователя к системе. Мы создали новый объект для работы этого скрипта.

New-ADObject [-Server <String>] [-Name] <String> [-OtherAttributes <Hashtable>]  [-Path <String>] [-Type] <New_Custom_User_Object> [-Instance <ADObject>] [-Verbose] <String>

Как только я изменил класс объекта на новый, созданный для этого скрипта, он позволил мне установить objectSID во время создания New-Object. Невозможно установить этот параметр с помощью Set-Object. Он может быть сгенерирован только один раз при создании объекта.

Спасибо