AD jogosultságok kezelése

Ez a snapin nem hoz létre AD: meghajtót, mint a Microsoft AD modul, így a jogosultságokat sem a hagyományos Get-ACL és Set-ACL párossal lehet kezelni, hanem külön cmdletek vannak erre a célra. Ha elkezdjük ezeket használni, rájöhetünk, hogy nem is olyan nagy baj ez, itt is sok hasznos ötlettel találkozhatunk. Nézzük például egy OU-ra beállított jogosultságokat:

PS C:\> Get-QADPermission Észak | ft -AutoSize

Permissions for: r2.dom/Észak

 

WARNING: Only explicit permissions were displayed. To display inherited and AD

 default permissions use -Inherited and -SchemaDefault switches respectively.

Ctrl Account  Rights             Source        AppliesTo

---- -------  ------             ------        ---------

Deny Everyone Special            Not inherited This object only

     R2\st    Full control       Not inherited Child user objects

     R2\st    Create/Delete user Not inherited This object and all child ob...

Színek kavalkádja fogad minket a kimeneten és praktikus szűrés és oszlopok. Alaphelyzetben csak az explicit jogokat látjuk, ráadásul a sémából jövő alaphelyzet szerinti jogosultságok is el vannak rejtve. Valljuk be, az esetek döntő részében ezek nem nagyon szoktak meglepetést tartalmazni, így ezekre nem szoktunk amúgy sem kíváncsiak lenni.

Ha mégis szükségünk lenne a sémából származó alaphelyzet szerinti jogosultságokra, akkor - természetesen – azokat is lekérdezhetjük:

PS C:\> Get-QADPermission st -SchemaDefault -Account "Self"  | ft -AutoSize

Permissions for: r2.dom/Dél/Soós Tibor

 

Ctrl Account           Rights                            Source     AppliesTo

---- -------           ------                            ------     ---------

     NT AUTHORITY\SELF Special                           AD Default This ob...

     NT AUTHORITY\SELF Read/Write Phone and Mail Options AD Default This ob...

     NT AUTHORITY\SELF Read/Write Personal Information   AD Default This ob...

     NT AUTHORITY\SELF Read/Write Web Information        AD Default This ob...

     NT AUTHORITY\SELF Change Password                   AD Default This ob...

     NT AUTHORITY\SELF Send As                           AD Default This ob...

     NT AUTHORITY\SELF Receive As                        AD Default This ob...

Ezek után nézzük, hogyan lehet például lemásolni egyik OU-ról a másikra a beállított jogosultságokat:

PS C:\> Get-QADPermission nyugat | Add-QADPermission kelet

Permissions for: r2.dom/Nyugat

 

WARNING: 2 columns do not fit into the display and were removed.

 

Ctrl   Account                                  Rights

----   -------                                  ------

Deny   Everyone                                 Special

       R2\acsTamas                              Read/Write managedBy

WARNING: Only explicit permissions were displayed. To display inherited and AD

 default permissions use -Inherited and -SchemaDefault switches respectively.

Nagyon egyszerű, és mivel itt csak ténylegesen az ACL bejegyzésekkel dolgozunk, nem a teljes security descriptorral, így az OU tulajdonosának felülírása sem merül fel.

 

 



Word To HTML Converter