Benutzer-Konto "effektive Berechtigungen" mit powershell
Brauche ich, um zu vergleichen, AD-Benutzer-Berechtigungen (ein Benutzer kann "unset" ein Attribut und eine andere nicht, beide können es ändern).
Wie kann ich den dump, vergleichen Benutzerkonto "effektive Berechtigungen", die ich finden wenn ich gehe, um user account > Security > Advanced > Effective Permissions
(und wählen Sie ein Benutzer-Konto) mit powershell?
- Bitte geben Sie Ihren code ein.
- Ich verwendet code von sourceforge.net/projects/adumass/files - verändert es für mich auch Bearbeiten "- forwardingaddress" - Attribut. Es funktioniert für die Bearbeitung, aber manchmal clearing (ADS_PROPERTY_CLEAR) funktioniert nicht. Ich habe weiter und fand, dass die clearing-forwardingaddress funktioniert nicht, wenn der user hat Schreibrechte (und Wert) auf telephonenumber-oder pager-oder Mobil-Attribut. Wenn das named-Attribute leer sind oder der Benutzer nicht schreiben persmissions Sie anschließend clearing-forwardingaddress funktioniert.
InformationsquelleAutor maanus | 2012-05-30
Schreibe einen Kommentar Antworten abbrechen
Du musst angemeldet sein, um einen Kommentar abzugeben.
Mit Quest Free PowerShell Commands for Active Directory ist einfach:
oder besser Weg:
Diese Rückkehr alle gültige Berechtigung Vererbt oder Explizit zugewiesen für den Benutzer 'Benutzerkontoname'
Den Vergleich mit
compare-object
.Ein sehr einfaches Beispiel:
Waren wir in einer ähnlichen situation einmal, und er musste wissen, wer alles löschen könnte einer unserer wichtigsten Organisationseinheiten, also dachten wir uns, vielleicht sollten wir einen dump der ACL der OU und Aussehen für alle, die hatten delete-Berechtigungen auf das Objekt. Natürlich dsacls war in dieser Hinsicht sehr hilfreich und wir konnten mit der dump-ACL auf es leicht.
Aber dann, als wir begannen Blick auf die ACL, fanden wir, dass es fast 60 Berechtigung Einträge, darunter etwa ein halbes Dutzend verweigern-Einträge, von denen einige direkte und andere vererbt. Wir haben uns zunächst nicht der Meinung das verneint und kam mit einer Liste von über 200 Benutzer, die löschen könnte das OU, aber das schien nicht Recht (; es schien zu hoch.) Dann erkannten wir, dass wir hatten, sich zu kreuzen, die bestreitet, mit den ermöglicht!
Abgeflacht, So dass wir alle deny-Berechtigungen sowie alle Berechtigungen zulassen, aber dann mussten wir herausfinden, welche dieser bestreitet gelten würde, da einige von Ihnen geerbt wurden, und ich glaube, das geerbte nicht negieren alle direkt ermöglicht, so, dass einige mehr Schmerz-wettend arbeiten, und dabei merkten wir, dass einige von denen geerbte Berechtigungen nicht auf das Objekt anwenden, so mussten wir von vorne anfangen!
Schließlich haben wir fast aufgegeben, und als ich fragte eine unserer Enterprise-Admins, er sagte, was wir tun mussten, war festzustellen, Effektive Berechtigungen auf unserer ORGANISATIONSEINHEIT ein, und er wies uns auf die Registerkarte Effektive Berechtigungen in Active Directory-Benutzer und Computer-snap-in.
So starteten wir ADUC-und navigiert Sie die Registerkarte Effektive Berechtigungen, und dachte, es wäre eine Sache von einem Klick auf OK irgendwo. Aber bald merkten wir, dass es notwendig uns zu geben Sie jede person einzeln. Nun, wir haben fast 2000 Menschen in unserer Umgebung, so dass es keine Möglichkeit gab, konnten wir im Jahr 2000 die Namen der Leute eins nach dem anderen. Die andere Sache war, dass selbst für eine einzelne person, wäre es für uns alle sind die effektiven Berechtigungen für diese person, und in technischer Hinsicht, die wir haben, weiter zu verfeinern.
Wir dann dachten, wir würden geben Sie Powershell ein Schuss, und sah viele Möglichkeiten, dies zu tun mit Powerhsell, aber es war nicht leicht zu bestimmen, effektive Berechtigungen im AD mit Powershell, das war enttäuschend. Insbesondere haben wir versucht Quest kostenlos PowerShell-Befehle Bekommen-QadPermission Benutzerkontoname und Get-QADUser - - Namen Benutzerkontoname, aber wir waren enttäuscht zu sehen, dass diese nur abgerufen, die Liste der alle angegebenen Berechtigungen für einen bestimmten Benutzer. Es offenbarte nicht die die Effektiven Berechtigungen einem Benutzer gewährt. Wir fanden uns mit, mit zu beginnen, die Ergebnisse brachte es zurück, um dann manuell versuchen und zu bestimmen, effektive Berechtigungen, die war es nicht Wert unsere Zeit.
So, wir hatten fast die Hoffnung aufgegeben, aber vor dem Ausstieg, die wir dachten, wir würden nur Google "Active Directory-Tool Effektive Berechtigungen" mit der Hoffnung, dass es etwas gibt, könnte dies für uns tun. Ich bin froh, dass wir das gemacht haben, weil wir kein tool gefunden, das könnte genau das tun, was wir benötigt: Abbildung aus die effektiven Berechtigungen auf unserer OU und geben uns die Möglichkeit diese zu exportieren effektive Berechtigungen -
http://www.paramountdefenses.com/goldfinger_capabilities_true_effective_permissions_for_active_directory.html
Haben wir festgestellt, dass dieses tool (genannt Gold Finger für AD) hat die Fähigkeit, um zu bestimmen, die Effektiven Berechtigungen auf Active Directory-Objekte, und stellen Sie den output so, dass wir einfach die Liste aller Nutzer, die hatte "effektive Berechtigungen" für ein bestimmtes Recht auf ein Objekt. Zum Beispiel waren wir in der Lage, es zu benutzen, zu ermitteln und auflisten die Liste aller admins, die hatte "effektiven Zugang löschen" - Rechte auf der OU, die wir interessiert waren in.
Es hat sich als sehr hilfreich für uns, und vielleicht könnte es helfen, Sie zu. Ich dachte, ich würde teilen, weil ich habe die dsacls Strecke und ich würde nicht wollen, dass Sie gehen durch den gleichen Schmerz, den wir haben, versuchen, die manuell zu tun. Seine einfach zu schmerzhaft, zu tun manuell.