访问被拒绝。 （来自 HRESULT 的异常：0x80070005 (E_ACCESSDENIED)）添加 Active Directory 帐户

Question

这个问题已经被问过好几次了，但到目前为止我还没有看到一个看起来像我们的问题的答案。

首先我们有两个重复的环境。两者都运行带有 Active Directory 的 Windows 2012 R2 服务器，用于我们的 Active Directory 联合服务。

我们的系统包含一个通过 WCF 服务进行通信的 Web 门户。由此我们有一个安全 WCF 服务，允许我们创建新的 AD 帐户。这目前在我们的开发和测试机器上完美运行（尽管它们使用相同的 AD 和 ADFS 机器），但是在我们的生产环境中，当我们调用相同的函数来创建新用户时，我们会收到以下错误：

02:07:24 [17] 错误用户服务！错误 ！！！ System.Reflection.TargetInvocationException：调用的目标已引发异常。 ---> System.UnauthorizedAccessException：访问被拒绝。 （来自 HRESULT 的异常：0x80070005 (E_ACCESSDENIED)） --- 内部异常堆栈跟踪结束 --- 在 System.DirectoryServices.DirectoryEntry.Invoke（字符串方法名，对象 [] 参数） 在 System.DirectoryServices.AccountManagement.SDSUtils.SetPassword（DirectoryEntry de，字符串 newPassword） 在 System.DirectoryServices.AccountManagement.ADStoreCtx.SetPassword（AuthenticablePrincipal p，字符串 newPassword） 在 System.DirectoryServices.AccountManagement.SDSUtils.InsertPrincipal（主体 p，StoreCtx storeCtx，GroupMembershipUpdater updateGroupMembership，NetCred 凭据，AuthenticationTypes authTypes，Boolean needToSetPassword） 在 System.DirectoryServices.AccountManagement.ADStoreCtx.Insert（主体 p） 在 System.DirectoryServices.AccountManagement.Principal.Save() 在 e:\Bld\1\User Service\UserService\Implementation\LDAPManager.cs:line 60 中的 UserService.Implementation.LDAPManager.CreateUser(String login, String firstName, String lastName, String userPassword, String EmailAddress) 在 e:\Bld\1\User Service\UserService\UserService.cs:line 127 中的 UserService.createNewUser(NewUserValueObject newUser) 处

正如我所说，我们已经查看了 AD 方面并没有发现任何明显的东西，但我相信你们伟大的运营和开发人员很快就会告诉我其他情况。

Answer 1

您需要检查服务运行的帐户及其权限。我最近在尝试将服务作为组管理服务帐户运行时遇到了类似的问题，并且该服务帐户无权从域中添加/删除计算机。必须将访问权限委派给组托管服务帐户的控制安全组。

下面的文章是一个很好的参考：

https://richardstk.com/2013/11/29/create-a-dedicated-account-to-join-computers-to-a-domain/

为了避免为我需要管理各种 OU 的服务帐户创建 SPN，我只是将它们放入自己的安全组中，并根据安全组委派访问权限。里程可能会有所不同，具体取决于您的情况以及您是否使用服务帐户来运行您的服务。