Eu preciso criar um script que verifique se o usuário atual tem direitos para excluir um objeto AD especial e, se esse for o caso, o script powershell poderá excluí-lo.
Excluir um objeto AD não é o problema, a pergunta que tenho é mais como verificar se o usuário atual (que executa o script) tem o direito de fazer isso? Use um try / catch sem costura da melhor maneira que eu penso.
Alguma boa ideia?
Esse thread Tim vinculado tem boas informações, aqui é uma maneira nativa:
(Get-Acl -Path "AD:\CN=John Doe,OU=Users,DC=contoso,DC=com" | '
select -ExpandProperty Access) | '
select ActiveDirectoryRights,IdentityReference
Com isso, você deve conseguir colocar isso em um objeto e comparar o usuário com o qual está trabalhando - contém.
Aqui estão alguns blogs de MVPs da Microsoft sobre isso:
Tags powershell