我需要为我域中属于名为“员工”的安全组的所有用户更改“包括可从此对象的父级继承的权限”。我已附上一张屏幕截图,其中显示了我需要更改的内容。我需要选中复选框。我之前没有使用过 Powershell,这必须自动化,否则手动完成这项工作将花费我很长时间。
谢谢!
答案1
您对“ballardc 的高级安全设置”对话框的解释不正确。
“包括可从此对象的父级继承的权限”是适用于“ballardc”对象的设置,而不是您在访问控制列表 (ACL) 视图中突出显示的单个访问控制条目 (ACE)。“ballardc”对象正在从其父容器(其所在的 Active Directory (AD) 中的 OU 或容器对象)继承任何可继承的 ACE。
编辑:
我看到了你对@john的评论,鉴于此:
默认情况下,AD 中所有新创建的用户对象都会从其父级继承权限。如果有人在所有用户对象上都更改了权限,那么很可能是有原因的。我会谨慎地重新启用继承,而不先了解原因。
答案2
我使用过 PowerShell,但没有使用过 Quest 工具,后者似乎是公认的工具包。它会像这样(假设您拥有相关权限):
Get-QADGroupMember [email protected] | % { Set-QADObjectSecurity $_.UserPrincipalName -UnlockInheritance}
(% 是 ForEach-Object CMDlet 的别名,它接受项目输入集合并在每个项目上运行相同的脚本块)
这些命令的参考资料是:
- http://wiki.powergui.org/index.php/Get-QADGroupMember
- http://wiki.powergui.org/index.php/Set-QADObjectSecurity
可以在这里下载http://www.quest.com/powershell/activeroles-server.aspx
我希望您能学会使用 Powershell,它对我来说现在非常有价值。