我正在接受老板定义的特殊任务。 他的问题是'我们广告中有多少用户可以重置其他用户的密码?'
我不是AD管理员,我只有一个普通的AD用户帐户,没有特殊权限。但是,我可以检索其他用户的属性,例如' samAccountType'或者' userAccountControl'使用Get-ADUser和所有其他花哨的PowerShell脚本。
我的问题是:有没有办法检索我可以用来回答他的问题的信息?
感谢您的任何提示!
答案 0 :(得分:0)
您可以查看Sysinternals工具(现在是Microsoft的一部分),特别是AccessChk和AccessEnum。否则,您需要编写从AD检索所有计算机的脚本,然后使用管理员帐户对其进行迭代,该管理员帐户有权查看所有文件系统对象的所有权限。另一个选项是从solution获取帮助,它可以让您在AD中拥有哪些权限。
以前的thread可能会帮助您获取Active Directory对象上所有有效权限/权限的列表。
如果没有文档,如何发现AD组具有哪些权限:https://security.stackexchange.com/questions/4545/how-do-you-discover-what-permissions-an-ad-group-has-if-you-have-no-documentati