我可以使用 Get-ACl cmdlet 列出 OU 中的 acl,但我需要查看如下所示的权限条目:
OU 属性 -> 安全选项卡 -> 高级 -> 查看和Active Directory 用户和计算机
现在我们位于 AD 对象的权限条目中。我想要的是权限的名称(当然是 AD 对象属性),并知道它是允许还是拒绝。
结果可能是这样的:
NT AUTHORITY\SYSTEM | GenericAll |读取传真号码|允许
NT AUTHORITY\SYSTEM | GenericAll |写传真号码|允许
...
答案1
这篇博客文章向您展示如何获取所有 OU 权限的报告: http://blogs.technet.com/b/ashleymcglone/archive/2013/03/25/active-directory-ou-permissions-report-free-powershell-script-download.aspx
Ashley McGlone,微软 PFE,http://aka.ms/GoateePFE
答案2
获取适用于 Active Directory 的 Quest PowerShell 命令
Get-QADObject "your.domain.name/path/to/OU" | Get-QADPermission -inherited| ft account,rights,rightsdisplay,accesscontroltype,source