好的，既然我在这个问题上一直处于暂停状态，也许有人已经看到了这些症状，并可以提供一些明智的建议。（注意：我只学会了足以构建此功能的Active Directory信息，而且我只有对Active Directory的读取访问权限。）

我更新了公司内部网，以允许自动录入/修改员工电话/地址信息；它使用Web服务连接公司Active Directory，因此我可以从主应用程序的多个位置调用它。

AD在同一森林中有两个域（A和B）。每个域都有一个“ADS更新用户”组和一个“ADS更新”帐户（属于“ADS更新用户”）。

问题：域A的条目在本地开发服务器、测试服务器和生产服务器上都可以更新。在域B中，只有在从本地开发服务器运行时才会更新。当您在测试或生产环境中运行相同的代码（已多次验证）时，您会遇到（常规访问被拒绝错误）。

域名存储在员工记录中，因此所有员工都调用完全相同的代码。

所有本地开发服务器、测试服务器和生产服务器都驻留在 A 域中。

这让域B的Active Directory管理员感到困惑，说实话，我很感谢本地开发服务器能够更新域B中的Active Directory条目。这证明代码至少在一个地方起作用。

I have looked at machine permissions, permissions on the group and user, and IIS and I can spot no significant differences. Any help would be appreciated…