我正在使用 AWS 系统管理器对我的 EC2 Active Directory 实例执行 PowerShell 脚本以禁用用户。
在 PowerShell 脚本中,我假设有一个服务帐户来为我执行以下操作:
$ServiceAccountUsername= "username"
$ServiceAccountPassword= "password" | ConvertTo-SecureString -AsPlainText -Force
$ServiceAccountCredential = New-Object System.Management.Automation.PSCredential($ServiceAccountUsername,$ServiceAccountPassword)
然后在脚本中:
$UserToDisable | Disable-ADAccount -Credential $ServiceAccountCredential
当我Domain Users在 AD 上禁用时,这很有效。
如果我需要禁用 a Domain Admin,它会失败并出现以下错误
Set-ADAccountExpiration : 访问权限不足,无法执行操作
我也不允许授予我的服务帐户Domain Admin权利,因为它违反了我公司的安全政策。
有什么方法可以使用此服务帐户禁用域管理员?是否有任何权限(域管理员除外)可以授予服务帐户以使其正常工作?