Get-ACL 能显示精确的“ActiveDirectoryRight”吗?

Get-ACL 能显示精确的“ActiveDirectoryRight”吗?

我正在尝试从 OU 获取权限列表,并且一直在使用“Get-ACL”;

(Get-Acl $OUName).access | Select Identityreference,ActiveDirectoryRights,accesscontroltype

结果并不令人满意,显示了很多“ReadProperty”和“WriteProperty”权限,并且混淆了后台的确切属性名称。有没有办法用“Get-ACL”获取确切的属性名称?

如果有任何其他问题或需要确认的话请告诉我。

答案1

正如您已经发现的,您正在寻找的属性类型和权限由每个 ActiveDirectoryAccessRule 的 ObjectType 和 InheritedObjectType 属性中的 GUID 表示。

要将这些 GUID 解析为人类可读的格式,涉及 AD 架构(用于对象类型)和配置分区(用于扩展权限),查找 schemaIDGUID/rightsGUID 及其显示名称。

长话短说,这个示例脚本可能有足够的信息来获取您想要的内容:

https://gallery.technet.microsoft.com/Active-Directory-OU-1d09f989

第 50-53 行基本上构建了允许 GUID -> 显示名称查找的哈希表。

相关内容