C# 访问被拒绝。（来自HRESULT的异常：0x80070005（E_ACCESSDENIED））添加Active Directory帐户

这个问题已经被问了好几次，但到目前为止，我还没有看到一个与我们的问题有任何相似之处的答案

首先，我们有两个重复的环境。两台运行Windows 2012 R2服务器的Active Directory都与我们的Active Directory联合服务一起使用

我们的系统由一个通过WCF服务进行通信的门户网站组成。从这一点上，我们有一个安全的WCF服务，允许我们创建新的广告帐户。目前，这在我们的开发和测试机器上非常有效（尽管这些机器使用相同的AD和ADFS机器），但在我们的生产环境中，当我们调用相同的函数来创建新用户时，会出现以下错误：

02:07:24[17]错误用户服务！！！错误！！！ System.Reflection.TargetInvocationException:调用的目标已引发异常。-->System.UnauthorizedAccessException:访问被拒绝。（HRESULT异常：0x80070005（E_访问被拒绝）） ---内部异常堆栈跟踪的结束--- 位于System.DirectoryServices.DirectoryEntry.Invoke（String methodName，Object[]args） 位于System.DirectoryServices.AccountManagement.SDSUtils.SetPassword（DirectoryEntry de，字符串newPassword） 位于System.DirectoryServices.AccountManagement.ADStoreCtx.SetPassword（AuthenticatablePrincipal p，字符串newPassword） 位于System.DirectoryServices.AccountManagement.SDSUtils.InsertPrincipal（主体p、StoreCtx StoreCtx、GroupMembershipUpdater updateGroupMembership、NetCred凭据、AuthenticationTypes authTypes、Boolean needToSetPassword） 位于System.DirectoryServices.AccountManagement.ADStoreCtx.Insert（主体p） 在System.DirectoryServices.AccountManagement.Principal.Save（）中 在e:\Bld\1\User Service\UserService\UserService\Implementation\LDAPManager.CreateUser（字符串登录、字符串名字、字符串姓氏、字符串用户密码、字符串电子邮件地址）的第60行 在e:\Bld\1\User Service\UserService\UserService\UserService.cs中的UserService.createNewUser（NewUserValueObject newUser）处：第127行

---

正如我所说，我们已经查看了广告方面的内容，没有发现任何明显的问题，但我相信您的优秀运营商和开发商很快就会告诉我其他情况。

您需要检查服务运行的帐户以及它的权限。我最近在尝试将服务作为组管理的服务帐户运行时遇到了类似的问题，而该服务帐户无权从域中添加/删除计算机。必须将访问权限委派给组托管服务帐户的控制安全组

以下文章是一个很好的参考：

---

为了避免为管理各种OU所需的服务帐户创建SPN，我只是将它们放入它们自己的安全组中，并根据安全组授予访问权限。根据您的情况以及您是否使用服务帐户运行服务，此处的里程数可能会有所不同

您需要检查服务运行的帐户及其权限。我最近在尝试将服务作为组管理的服务帐户运行时遇到了类似的问题，而该服务帐户无权从域中添加/删除计算机。必须将访问权限委派给组托管服务帐户的控制安全组

以下文章是一个很好的参考：

为了避免为管理各种OU所需的服务帐户创建SPN，我只是将它们放入它们自己的安全组中，并根据安全组授予访问权限。根据您的情况以及您是否使用服务帐户运行服务，此处的里程数可能会有所不同