如何在 powershell 中使用 AdsiSearcher 查询安全策略?
How to query Security Policy with AdsiSearcher in powershell?
我正在尝试查找设置 TrustedForDelegation : True 的所有服务器,我能够找到使用 ([adsisearcher]"ObjectCategory=Computer").Findall().properties 的所有服务器,但我看不到任何安全策略属性。我将如何查看安全策略属性的过滤?
顺便说一句,我使用 AdsiSearcher 的原因是因为我没有可导入的 Active Directory 模块。
Trusted for Delegation 权限存储在 AD 中的 userAccountControl 属性中,即 bit field, meaning that the value indicates several flags that can be on or off. The full list is here.
将此添加到您的查询中有点棘手。它需要一个名为 LDAP_MATCHING_RULE_BIT_AND 的 bitwise AND comparison to see if a specific flag is turned on. AD allows this through a matching rule OID。
您可以像这样在 LDAP 查询中使用它:
(userAccountControl:1.2.840.113556.1.4.803:=524288)
因此,用于查找所有具有受信任委派权限的计算机的代码如下所示:
([adsisearcher]"(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))").Findall()
我正在尝试查找设置 TrustedForDelegation : True 的所有服务器,我能够找到使用 ([adsisearcher]"ObjectCategory=Computer").Findall().properties 的所有服务器,但我看不到任何安全策略属性。我将如何查看安全策略属性的过滤?
顺便说一句,我使用 AdsiSearcher 的原因是因为我没有可导入的 Active Directory 模块。
Trusted for Delegation 权限存储在 AD 中的 userAccountControl 属性中,即 bit field, meaning that the value indicates several flags that can be on or off. The full list is here.
将此添加到您的查询中有点棘手。它需要一个名为 LDAP_MATCHING_RULE_BIT_AND 的 bitwise AND comparison to see if a specific flag is turned on. AD allows this through a matching rule OID。
您可以像这样在 LDAP 查询中使用它:
(userAccountControl:1.2.840.113556.1.4.803:=524288)
因此,用于查找所有具有受信任委派权限的计算机的代码如下所示:
([adsisearcher]"(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))").Findall()