我需要将所有用户对象的ReadProperty从AD授予“NT AUTHORITY \ authenticated users”组。
我从quest / dell activeroles中找到了add-qadpermission cmdlet,但我不知道它是如何工作的。
我尝试了这种语法,但它不起作用:
add-QADpermission mydom\orwell -Account "NT AUTHORITY\Utilisateurs Authentifiés" -Right ReadProperty
它返回:
Can't lookup account for identity: 'NT AUTHORITY\utilisateurs authentifiés'
No valid accounts specified. Searching permissions for all accounts.
当我尝试使用NT AUTHORITY\Authenticated users时,它会给我说同样的信息。
答案 0 :(得分:0)
你需要至少使用NT AUTHORITY\Authenticated Users而不是法语吗? .. name,因为Authenticated Users是一个特殊的内置组。如果这不起作用,您可以尝试使用它的SID:
S-1-5-11
像:
Add-QADPermission -Identity 'mydom\orwell' -Account "S-1-5-11" -Rights ReadProperty
除非您需要授予计算机帐户访问权限或来自受信任域的用户,否则如果以上操作不起作用,您可以使用Domain Users替代。
答案 1 :(得分:0)
谢谢你的回答。终于找到了如何通过使用戴尔 - 任务工具activeroles管理shell。
这是对我有用的命令:
Get-QADUser * | foreach-object {
Add-QADPermission $_.dn -Account "utilisateurs authentifiés" -Rights 'ReadControl,ReadProperty'
}