使用 Powershell 列出 AD 组的管理员

Question

我猜你说的是 AD 组管理器和复选框“管理器可以更新成员列表”。此复选框修改组 DACL 并授予写入成员属性的权限。

答案很简单。使用 AD 对象属性中设置的值。这只会在属性中提供一个名称（如 ADUC 中所示）。

Get-ADObject -Identity (Get-ADGroup -Identity "Group Name" -Properties managedby).managedby

很难回答。查询 AD 对象 DACL 以获取成员属性的 WriteProperty。这不包括 WriteAllProperty 或完全权限！通过示例，过滤掉这些应该不难，但它们可能是默认的系统 DACL 条目。

$Group = Get-ADGroup -Identity "Group Name"
$ACL = Get-Acl -Path ('AD:' + $Group.distinguishedName)
$Access = $ACL.Access
#"bf9679c0-0de6-11d0-a285-00aa003049e2" is GUID for object property "members"
$GroupAdmins = $Access | Where-Object -FilterScript {$_.ObjectType -eq "bf9679c0-0de6-11d0-a285-00aa003049e2" -and  $_.ActiveDirectoryRights -eq "WriteProperty"}
$Groupadmins.IdentityReference| ForEach-Object {Get-ADUser -Identity $_.translate([System.Security.Principal.SecurityIdentifier]).Value}

Answer 1

我猜你说的是 AD 组管理器和复选框“管理器可以更新成员列表”。此复选框修改组 DACL 并授予写入成员属性的权限。

答案很简单。使用 AD 对象属性中设置的值。这只会在属性中提供一个名称（如 ADUC 中所示）。

Get-ADObject -Identity (Get-ADGroup -Identity "Group Name" -Properties managedby).managedby

很难回答。查询 AD 对象 DACL 以获取成员属性的 WriteProperty。这不包括 WriteAllProperty 或完全权限！通过示例，过滤掉这些应该不难，但它们可能是默认的系统 DACL 条目。

$Group = Get-ADGroup -Identity "Group Name"
$ACL = Get-Acl -Path ('AD:' + $Group.distinguishedName)
$Access = $ACL.Access
#"bf9679c0-0de6-11d0-a285-00aa003049e2" is GUID for object property "members"
$GroupAdmins = $Access | Where-Object -FilterScript {$_.ObjectType -eq "bf9679c0-0de6-11d0-a285-00aa003049e2" -and  $_.ActiveDirectoryRights -eq "WriteProperty"}
$Groupadmins.IdentityReference| ForEach-Object {Get-ADUser -Identity $_.translate([System.Security.Principal.SecurityIdentifier]).Value}

使用 Powershell 列出 AD 组的管理员

答案1

相关内容