我需要比较AD用户权限(一个用户可以“取消设置”一个属性而另一个用户不能,两者都可以更改它)。
如何转发/比较用PowerShell转到user account > Security > Advanced > Effective Permissions(并选择用户帐户)时找到的用户帐户“有效权限”?
答案 0 :(得分:3)
使用Quest Free PowerShell Commands for Active Directory很简单:
Get-QadPermission useraccountname -Inherited
或更好的方式:
Get-QADUser -Name useraccountname -SecurityMask DACL | Get-QADPermission -Inherited -SchemaDefault
返回为用户'useraccountname'
分配的所有有效权限Inherited或Explicit可以与compare-object进行比较。
一个非常简单的例子:
compare-object (Get-QADPermission userA -Inherited | select Rights) (Get-QADPermission userB -Inherited | select rights)
答案 1 :(得分:2)
我们曾经处于类似的情况,并且需要知道谁都可以删除我们的主要OU之一,因此我们认为可能我们应该在OU上转储ACL并查找对该对象具有删除权限的每个人。当然dsacls在这方面非常有帮助,我们可以轻松地将ACL转储到它上面。
但是,当我们开始查看ACL时,我们发现它有近60个权限条目,包括大约六个拒绝条目,其中一些是直接的,另一些是继承的。我们最初没有考虑否认,并提出了大约200个用户可以删除OU的列表,但这似乎不对(;它似乎太高了。)然后,我们意识到我们必须将拒绝与允许!
所以我们平了所有拒绝权限,并且都允许权限,但是我们必须弄清楚哪些拒绝适用,因为其中一些是继承的,我相信继承的不会否定任何直接允许,这样做了一些更痛苦的工作,并且在做这件事时我们意识到其中一些继承权限不适用于该对象,所以我们必须从头开始!
最后,我们几乎放弃了,当我问其中一个企业管理员时,他说我们需要做的是确定OU上的有效权限,他指出我们。
因此,我们启动了ADUC并导航到“有效权限”选项卡,并认为这将是在某处单击“确定”的问题。但是,我们很快意识到需要我们单独输入每个人的姓名。现在,我们的环境中有近2000人,所以我们无法一个接一个地输入2000个人的名字。另一件事是,即使对于一个人来说,它也会向我们显示该人的所有有效权限,并且在技术方面,我们将不得不进一步完善这些权限。
然后我们认为我们会给Powershell一个机会,并且使用Powerhsell查看了很多选项,但是使用Powershell很难确定AD的有效权限,这令人失望。特别是,我们尝试了Quest的免费PowerShell命令 Get-QadPermission useraccountname和 Get-QADUser -Name useraccountname,但我们很失望地看到这只检索了所有权限列表为给定用户指定。它没有透露授予用户的有效权限。我们发现自己必须从它带回来的结果开始,然后手动尝试并确定有效的权限,这不值得我们花时间。
所以,我们几乎放弃了希望,但在退出之前我们认为我们只会谷歌“ Active Directory有效权限工具”,希望必须有一些可以做到这一点的东西我们。我很高兴我们做到了,因为我们找到了一个可以完全满足我们需求的工具:找出OU的有效权限并让我们能够导出这些有效的权限 -
我们发现此工具(称为 Gold Finger for AD )能够确定Active Directory对象的有效权限,并提供输出以便我们可以轻松查看所有用户的列表对对象的特定权利具有“有效权限”。例如,我们能够使用它来确定和枚举对我们感兴趣的OU具有“有效删除访问权限”的所有管理员的列表。
事实证明这对我们很有帮助,也许它对你也有帮助。我只是觉得我会分享这个,因为我一直是 dsacls 路线,我不希望你经历我们在尝试手动执行此操作时所做的同样的痛苦。手动做太痛苦了。