我正在尝试使用DSACLS命令向User对象授予特定权限。 DSACLS命令仅在安装了AD-Snapin时才可用。
当我在User对象上运行此命令时,它将列出其所有对象安全权限:
dsacls "CN=Aaron Ooi,OU=Users,OU=IT,DC=Domain"
我想要的权限来自名为:
的列表 Allow BUILTIN\Windows Authorization Access Group
SPECIAL ACCESS for tokenGroupsGlobalAndUniversal
READ PROPERTY
如何使用此命令将上述类似权限应用于其他用户帐户?我似乎无法从帮助菜单中找到它。
如果在PowerShell中可以做出类似的要求也会很棒。
答案 0 :(得分:0)
Google无处不在,DSACLS无法完成特殊访问权限的工作。然后我在PowerShell中寻找答案并设法找到解决方案:
您需要为PowerShell命令安装Quest ActiveRoles: http://www.quest.com/powershell/activeroles-server.aspx
安装完成后,启用管理单元:
Add-PSSnapin Quest.ActiveRoles.ADManagement
获取AD对象安全权限的命令:
Get-QADPermission UserID -Inherited -SchemaDefault
用于设置AD对象安全权限的命令:
Add-QADPermission UserID -Account "Windows Authorization Access Group" -Rights "ReadProperty" -Property "tokenGroupsGlobalAndUniversal" -ApplyTo "ThisObjectOnly"
问题解决了!