As Permissões Delegadas do Active Directory concedem acesso a vários usuários para editar um grupo de Segurança Global com o powershell

1

Olá Fellow IT Guru's

Espero obter um pouco de conhecimento aqui sobre a capacidade de gerenciar as permissões delegadas do Active Directory por meio do powershell.

Recentemente, encontrei um problema em que eu queria fornecer a vários usuários a capacidade de adicionar ou remover usuários em um grupo de segurança global.

Estou familiarizado com a maneira tediosa de adicionar vários usuários via AD:

1. security tab, add, enter users name, uncheck all permissions for said user
2. click advanced tab, double click users name, ensure type is set to “Allow” and applies to is set to “this object only” 
3. scroll through the entire list of permissions, and ensure only “write members” has a tick mark
4. ok, ok. 

Pesquisei a Internet sobre esse tópico e só encontrei cmdlets para fornecer a vários usuários a capacidade de gerenciar listas de distribuição     1. Set-DistributionGroup -Identity '' -ManagedBy 'user1', 'user2', 'user3

Embora este comando seja útil, não é o que estou procurando. Eu também testei o seguinte comando sem sucesso

1. Set-Group -Identity '<DL_name>' -ManagedBy  'user1', 'user2'

Eu sou novo no powershell, e eu li e pesquisei, então se eu estiver no caminho errado, por favor me avise.

Muito Apreciado.

    
por M Rahbari 03.10.2017 / 23:47

1 resposta

2

Aviso justo. Modificar as permissões do Windows por meio de programação (em qualquer coisa) tem uma curva de aprendizado bastante alta se você não estiver familiarizado com o funcionamento das permissões do Windows.

Os cmdlets do Powershell com os quais você lidará são Get-Acl e Set-Acl combinado com a classe .NET System.DirectoryServices.ActiveDirectoryAccessRule .

A visão geral de alto nível para modificar as permissões em um objeto é semelhante a esta:

  • Get-Acl para recuperar as permissões atuais no objeto
  • Crie novos objetos ActiveDirectoryAccessRule para as ACEs que você adicionará
  • use o método AddAccessRule no objeto ACL recuperado anteriormente
  • Set-Acl com seu objeto ACL modificado.

Isso deve começar no caminho certo.

O comentário de Per Corey, aqui está uma boa postagem no blog que combina tudo com alguns exemplos: Delegação do Active Directory via PowerShell

    
por 04.10.2017 / 01:24