グループに AddUser に対する Microsoft AD スポーク OOB アクションが例外をスローする「Failed while running ActionAddUserToADGroup.ps1 (Access denied)」Issue <!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } フローデザイナーでは、ユーザーをルックアップする Microsoft AD スポークの OOB アクションが機能しますが、グループにユーザーを追加を実行する他の OOB アクションは次のエラーをスローします。 ユーザーによる認証に失敗しました。 SEVERE *** ERROR *** Authentication failure with the userSEVERE *** ERROR *** Failed while executing ActionAddUserToADGroup.ps1 (Access denied) グループへの [ユーザーをルックアップ (Lookup User)] または [ユーザーを追加 (AddUser to group)] の両方のアクションは、同じ認証情報とターゲットシステムを使用することに注意してください。 Release<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Cause<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } ユーザー権限を検証するには、次の手順を実行します。 1.PowerShell から以下のコマンドを実行して、グループメンバーを追加できるかどうかを確認します。Add-ADGroupMember -Identity $groupname -Members $username -Credential (Get-Credential) -Server $computerグループ名、ユーザー名、AD サーバー IP を明示的に指定する必要があります。上記のコマンドでは、資格情報の入力を求められます。2.作業ユーザーと作業していないユーザーについて、各ユーザーに対して次のコマンドを個別に実行して、2 人のユーザーの権限を比較してみてください。(Get-ACL "AD:$((Get-ADUser username).distinguishedname)").access3.ユーザーにログオン権限を付与して MID サーバーへのログインを試み、影響を受けたユーザーで PowerShell コマンドを実行します。ユーザーは既にアドミニストレーターのグループに追加されているため、アクションを実行する必要がありますが、前述のように問題が解決しない場合は、MID サーバーからコマンドを実行すると、さらに詳しく調べることができます。 Resolution<!-- /*NS Branding Styles*/ --> .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } MID サーバーエージェントログを確認しているときに、「エージェントログにユーザー例外があり、認証に失敗しました」と表示されました。 02/15/21 11:14:42 (870) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a Worker starting: IPaaSActionProbe source: e826d1d2d152281007d9c98234dba93202/15/21 11:14:43 (089) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a DEBUG: Executing command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -executionpolicy unrestricted -noninteractive -nologo -noprofile -command "& {& 'scripts\PowerShell\PSScript.ps1' -computer 'dcjnprawsw2b02.jnpr.net' -script 'C:\Users\user\Desktop\mid.orlando-12-11-2019__patch9a-01-04-2021_01-08-2021_1842.windows.x86-64\agent\scripts\PowerShell\ADSpoke\ActionAddUserToADGroup.ps1' -useCred $true -ismid $false -isDiscovery $true -debug $true -logInfo $false -skipTest $false -executeRemote $false -copyScriptToTarget $false; exit $LASTEXITCODE}"02/15/21 11:14:43 (089) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a DEBUG: With credential named : MicrosoftAD02/15/21 11:14:43 (108) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a DEBUG: Thread name is Powershell is executing...02/15/21 11:14:45 (032) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a DEBUG: The exit value from waitFor() is 102/15/21 11:14:47 (097) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a DEBUG: Execution status: failed02/15/21 11:14:47 (097) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a SEVERE *** ERROR *** Authentication failure with the user 02/15/21 11:14:47 (097) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a SEVERE *** ERROR *** Failed while executing ActionAddUserToADGroup.ps1 (Access denied)02/15/21 11:14:47 (097) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a SEVERE *** ERROR *** Authentication failure with the user 02/15/21 11:14:47 (097) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a 2021-02-15 11:14:43 Tried Credential: name=MicrosoftAD, affinity: yes, status=failed, sysid=0a757bc9dbad645046a154f94896190e, username=, type=Windows, order=10002/15/21 11:14:47 (566) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a Enqueuing: C:\Users\user\Desktop\mid.orlando-12-11-2019__patch9a-01-04-2021_01-08-2021_1842.windows.x86-64\agent\work\monitors\ECCSender\output_1\ecc_queue.f026d1d2db52281046a154f94896194a.xml02/15/21 11:14:47 (566) Worker-Expedited:IPaaSActionProbe-f026d1d2db52281046a154f94896194a Worker completed: IPaaSActionProbe source: e826d1d2d152281007d9c98234dba932 time: 0:00:04.68002/15/21 11:14:47 (957) ECCSender.1 Sending ecc_queue.f026d1d2db52281046a154f94896194a.xmlまた、powersシェルウィンドウから同じアクションを実行しているときに、「操作を実行するためのアクセス権が不十分です」と表示されることがあります[code] PS C:\Windows\system32> Add-ADGroupMember -Identity EIS -Members dbora -Credential _snowprod-oim -Server dcjnprawsw2b02>>Add-ADGroupMember : Insufficient access rights to perform the operationAt line:1 char:1+ Add-ADGroupMember -Identity EIS -Members dbora -Credential _snowprod- ...+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~+ CategoryInfo : NotSpecified: (EIS:ADGroup) [Add-ADGroupMember], ADException+ FullyQualifiedErrorId : ActiveDirectoryServer:8344,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMembeR [/code] 上記の手順から、ユーザーには書き込み権限がなく、AD での読み取り権限があることは明らかでした。上記の例外の解決策は、AD ユーザーを「アカウント オペレーター」または「ドメイン管理者」グループに追加することです。