早上好!我正在寻找一个 powershell 脚本,该脚本将允许我获取有权访问我服务器上特定文件夹的 Active Directory 组列表,但这些组已从文件夹中删除两次。我想从文件夹回溯到授予该文件夹权限的特定 AD 组,然后从该特定 AD 组回溯到被授予访问权限的每个单独组。我是否可以仅从 AD 组来解决这个问题,而完全不必担心文件夹?谢谢!伊恩
答案1
我是否可以仅从 AD 组来解决这个问题而完全不必担心文件夹?
不。ACL 是在文件系统对象(您的文件夹)上定义的,而不是在 AD 本身中定义的。
您需要查询文件夹,列出文件夹上的所有 ACL,提取所有安全主体(用户和组,Get-ACL 将其称为 IdentityReference),然后递归扩展每个组,直到您只拥有用户列表。听起来您也想在操作过程中收集组列表。
所以,是的,您绝对可以在 Powershell 中编写该代码,这可能是最好的工具。您甚至可能会在公共 GitHub 存储库中找到其他人的工作来执行“组扩展”功能。如果您需要跨域或跨林,这可能会变得很困难。