AD 组的权限报告
Permissions report for AD groups
我正在尝试从我在 AD 中拥有的某些组中获得 table 权限。我是 PowerShell 的新手,我什至不确定我想要的是什么。
到目前为止,我已经能够使用
select 我想要的组
Get-ADUser -Identity groupname
我可以看到从 PowerShell 的响应中提取的信息,但是从那里我遇到了一个巨大的死胡同,将结果输送到任何可以让我看到该组权限的东西。
我假设您想要组本身的权限(例如,允许谁修改组)。
您可以使用Get-Acl(ACL 代表Access-Control 列表),它也用于从文件获取权限。要将其定向到 AD,您可以使用 AD: 驱动器以及 AD 对象的可分辨名称。例如:
(Get-Acl "AD:CN=SomeGroup,OU=Groups,DC=example,DC=com").Access
如果您不知道专有名称,您可以从对 Get-ADGroup 的调用中获取(我假设您打算使用 Get-ADGroup,而不是像您所说的 Get-ADUser在你的问题中)。
$group = Get-ADGroup groupname
(Get-Acl "AD:$($group.distinguishedName)").Access
我正在尝试从我在 AD 中拥有的某些组中获得 table 权限。我是 PowerShell 的新手,我什至不确定我想要的是什么。
到目前为止,我已经能够使用
select 我想要的组Get-ADUser -Identity groupname
我可以看到从 PowerShell 的响应中提取的信息,但是从那里我遇到了一个巨大的死胡同,将结果输送到任何可以让我看到该组权限的东西。
我假设您想要组本身的权限(例如,允许谁修改组)。
您可以使用Get-Acl(ACL 代表Access-Control 列表),它也用于从文件获取权限。要将其定向到 AD,您可以使用 AD: 驱动器以及 AD 对象的可分辨名称。例如:
(Get-Acl "AD:CN=SomeGroup,OU=Groups,DC=example,DC=com").Access
如果您不知道专有名称,您可以从对 Get-ADGroup 的调用中获取(我假设您打算使用 Get-ADGroup,而不是像您所说的 Get-ADUser在你的问题中)。
$group = Get-ADGroup groupname
(Get-Acl "AD:$($group.distinguishedName)").Access