Dans un AD Windows Server 2008 R2, est-il possible d'obtenir la liste des OUs gérés par un utilisateur à partir de l'objet User ou doit-on analyser la liste des OUs ?
(c'est-à-dire, y a-t-il une représentation sur l'objet User de la gestion des OU ou est-ce seulement une var sur le OU)
Vous ne pouvez pas voir les OU auxquels un utilisateur particulier a accès à partir de l'objet Utilisateur réel dans AD. Vous pouvez cependant utiliser un outil puissant dans PowerShell appelé DSACLS. Vous exécutez PowerShell en tant qu'administrateur et utilisez ensuite cette commande :
dsacls "ou=nameofou,dc=domainname,dc=com"
en remplaçant nameofou et domainname par votre OU et votre domaine AD.
Pour plus d'informations, consultez la section DSACLS : http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspx
Non, le compte utilisateur/objet ne contient pas d'attribut pour ~"les choses que cet objet peut gérer".
Les permissions sont gérées par les ACLs/ACEs (listes de contrôle d'accès/entrées de contrôle d'accès) sur les objets eux-mêmes, qui définissent quels autres objets ont le droit de faire quoi à l'objet qui détient la LCA.
Pour savoir quels sont tous les OU qu'un utilisateur donné a le droit de gérer, l'approche est un script qui parcourt tous vos OU et renvoie ceux sur lesquels l'utilisateur cible a les permissions qui vous intéressent (et, pour être complet, les groupes dont votre utilisateur est membre).
Il semble qu'il y ait un script PowerShell de Ashley McGlone qui fait la plupart de ce dont vous avez besoin et vous donne un brillant fichier csv ou Excel. . Vous pourriez, bien sûr, faire la même chose dans la console PowerShell, en filtrant les résultats en fonction de l'utilisateur qui vous intéresse, et en modifiant le formatage et les attributs renvoyés, mais (sans vouloir vous offenser) cela semble un peu avancé pour vous, et je suis un peu débordé en ce moment, donc je ne vais pas vous faire de l'effet, mais il s'agirait d'une ligne unique relativement simple avec la fonction Get-Acl cmdlet en son cœur.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
