Nu se poate redenumi DN-ul utilizând acreditările de utilizator al domeniului de încredere

Am două AD în care există o relație de încredere bidirecțională (pădure și tranzitivă). Domeniile de încredere sunt trust1.com și trust2.com.

Am creat un AD-User (TEST1) în trust2.com folosind acreditările de administrator ale domeniului de încredere (trust1.com). Dar nu pot redenumi numele de utilizator al computerului din TEST1 în TEST2 folosind acreditările de administrator ale trust1.com.

Văd că ldap_rename dă erorii acces insuficient utilizatorului. Confuzia aici este că utilizatorul poate adăuga folosind acreditările de domeniu de încredere, dar nu poate redenumi.

Parametrii transmisi funcției ldap_rename sunt 
int ldap_rename_s( ld, dn, newrdn, newparent, deleteoldrdn, sctrls[], cctrls[] );
dn : CN=TEST1,CN=Computere,DC=trust2,DC=com
newrdn: cn=TEST2
nou părinte: CN=Computers,dc=trust2,dc=com
deleteoldrdn = 1

Trebuie să fac altceva înainte de a face această operație?

Setările standard de securitate pentru un domeniu Active Directory permit tuturor utilizatorilor autentificați să adauge computere noi, în timp ce trebuie să fiți administrator (sau să aveți drepturi de acces specifice) pentru a redenumi sau șterge unul.

Se pare că contul dvs. de administrator din trust1.com nu are drepturi administrative în trust2.com, prin urmare este tratat ca un utilizator standard: poate adăuga noi computere la domeniu, dar nu le poate gestiona pe cele existente (inclusiv pe cel creat în sine).

Acest lucru este într-adevăr normal, deoarece un domeniu de încredere nu le permite administratorilor de la un domeniu să gestioneze celălalt și viceversa; Pentru a realiza acest lucru, va trebui să acordați drepturi de administrator în trust2.com utilizatorilor sau grupurilor de la trust1.com, fie în mod explicit (folosind ACL-uri), fie plasându-le în grupul local al domeniului Administratori.