使用PowerShell模仿控制向导的委派

发布时间：2020-12-14 00:00:54 所属栏目：Windows 来源：网络整理

导读：我想将TestUsers组织单位的控制权委托给用户NickA,并为其提供以下权限：创建,删除和管理用户帐户重置用户密码并在下次登录时强制更改密码阅读所有用户信息创建,删除和管理组修改组的成员身份我找到的唯一方法是以下,但我找不到正确的权限分配： $acc =

我想将TestUsers组织单位的控制权委托给用户NickA,并为其提供以下权限：

>创建,删除和管理用户帐户
>重置用户密码并在下次登录时强制更改密码
>阅读所有用户信息
>创建,删除和管理组
>修改组的成员身份

我找到的唯一方法是以下,但我找不到正确的权限分配：

$acc  = Get-ADUser NickA
$sid  = new-object System.Security.Principal.SecurityIdentifier $acc.SID
$guid = new-object Guid bf967aba-0de6-11d0-a285-00aa003049e2 
$ou   = Get-ADOrganizationalUnit -Identity TestUsers
$acl  = Get-ACL -Path "AD:$($ou.DistinguishedName)"
$acl.AddAccessRule($(new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid,"CreateChild,DeleteChild","Allow",$guid))
Set-ACL -ACLObject $acl -Path "AD:$($ou.DistinguishedName)"

我还没有使用PowerShell处理ACL构建,但是这可以使用旧的DSACLS命令来完成,该命令是自Windows Server 2003以来RSAT和支持工具的一部分.

dsacls "OU=Test,DC=domain,DC=com" /I:S /G "domainuser:CA;Reset Password";user

将委派的OU的DN放在引号之间,并将用户放在/ G(grant)参数之后. / I：S参数告诉ACE仅继承子对象,CA参数代表Control Access.

有关语法的更多信息可以在TechNet或其他网站上找到.如果您需要使用PowerShell,请查看Update ACL Active Directory Provider documentation.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!