Ez a snapin nem hoz létre AD: meghajtót, mint a Microsoft AD modul, így a jogosultságokat sem a hagyományos Get-ACL és Set-ACL párossal lehet kezelni, hanem külön cmdletek vannak erre a célra. Ha elkezdjük ezeket használni, rájöhetünk, hogy nem is olyan nagy baj ez, itt is sok hasznos ötlettel találkozhatunk. Nézzük például egy OU-ra beállított jogosultságokat:
PS C:\> Get-QADPermission Észak | ft -AutoSize
Permissions for: r2.dom/Észak
WARNING: Only explicit permissions were displayed. To
display inherited and AD
default permissions use -Inherited and -SchemaDefault switches respectively.
Ctrl Account Rights Source AppliesTo
---- ------- ------ ------ ---------
Deny Everyone Special Not inherited This object only
R2\st Full control Not inherited Child user objects
R2\st Create/Delete user Not inherited This object and all child ob...
Színek kavalkádja fogad minket a kimeneten és praktikus szűrés és oszlopok. Alaphelyzetben csak az explicit jogokat látjuk, ráadásul a sémából jövő alaphelyzet szerinti jogosultságok is el vannak rejtve. Valljuk be, az esetek döntő részében ezek nem nagyon szoktak meglepetést tartalmazni, így ezekre nem szoktunk amúgy sem kíváncsiak lenni.
Ha mégis szükségünk lenne a sémából származó alaphelyzet szerinti jogosultságokra, akkor - természetesen – azokat is lekérdezhetjük:
PS C:\> Get-QADPermission st -SchemaDefault -Account "Self" | ft -AutoSize
Permissions for: r2.dom/Dél/Soós Tibor
Ctrl Account Rights Source AppliesTo
---- ------- ------ ------ ---------
NT AUTHORITY\SELF Special AD Default This ob...
NT AUTHORITY\SELF Read/Write Phone and Mail Options AD Default This ob...
NT AUTHORITY\SELF Read/Write Personal Information AD Default This ob...
NT AUTHORITY\SELF Read/Write Web Information AD Default This ob...
NT AUTHORITY\SELF Change Password AD Default This ob...
NT AUTHORITY\SELF Send As AD Default This ob...
NT AUTHORITY\SELF Receive As AD Default This ob...
Ezek után nézzük, hogyan lehet például lemásolni egyik OU-ról a másikra a beállított jogosultságokat:
PS C:\> Get-QADPermission nyugat | Add-QADPermission kelet
Permissions for: r2.dom/Nyugat
WARNING: 2 columns do not fit into the display and were removed.
Ctrl Account Rights
---- ------- ------
Deny Everyone Special
R2\acsTamas Read/Write managedBy
WARNING: Only explicit permissions were displayed. To display inherited and AD
default permissions use -Inherited and -SchemaDefault switches respectively.
Nagyon egyszerű, és mivel itt csak ténylegesen az ACL bejegyzésekkel dolgozunk, nem a teljes security descriptorral, így az OU tulajdonosának felülírása sem merül fel.