我正在尝试从 OU 获取权限列表,并且一直在使用“Get-ACL”;
(Get-Acl $OUName).access | Select Identityreference,ActiveDirectoryRights,accesscontroltype
结果并不令人满意,显示了很多“ReadProperty”和“WriteProperty”权限,并且混淆了后台的确切属性名称。有没有办法用“Get-ACL”获取确切的属性名称?
如果有任何其他问题或需要确认的话请告诉我。
答案1
正如您已经发现的,您正在寻找的属性类型和权限由每个 ActiveDirectoryAccessRule 的 ObjectType 和 InheritedObjectType 属性中的 GUID 表示。
要将这些 GUID 解析为人类可读的格式,涉及 AD 架构(用于对象类型)和配置分区(用于扩展权限),查找 schemaIDGUID/rightsGUID 及其显示名称。
长话短说,这个示例脚本可能有足够的信息来获取您想要的内容:
https://gallery.technet.microsoft.com/Active-Directory-OU-1d09f989
第 50-53 行基本上构建了允许 GUID -> 显示名称查找的哈希表。