¿Cómo ver los permisos para cualquier objeto en Active Directory?
Siga leyendo para saber cómo ver los permisos de cualquier objeto en Active Directory (AD) mediante PowerShell y cómo puede hacerlo fácilmente con ADManager Plus.
Windows PowerShell
- Identifique el dominio en el que se encuentra el objeto para el que deben verse los permisos.
- Cree y compile la secuencia de comandos para ver los permisos para el objeto de AD. Ejecute la secuencia de comandos en PowerShell.
- Secuencia de comandos de ejemplo para cambiar la configuración de contraseña a "el usuario debe cambiar la contraseña en el próximo inicio de sesión" para una cuenta de usuario de AD:
Copied
$securityreport = @()
$schemaGUID = @{}
$ErrorActionPreference = 'SilentlyContinue' Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaGUID=*)' -Properties name, schemaGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.schemaGUID,$_.name)} Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.rightsGUID,$_.name)} $ErrorActionPreference = 'Continue' # Get a list of AD objects. $AOs = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName) $AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName $AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName ForEach ($AO in $AOs) { $securityreport += Get-Acl -Path "AD:\$AO" | Select-Object -ExpandProperty Access | Select-Object @{name='organizationalunit';expression={$AO}}, ` @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaGUID.Item($_.objectType)}}}, ` @{name='inheritedObjectTypeName';expression={$schemaGUID.Item($_.inheritedObjectType)}}, ` * } # Filter by single user and export to a CSV file. $User ='Username' $securityreport | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique | Export-Csv -Path "D:\report\permissions.csv" -NoTypeInformation
$schemaGUID = @{}
$ErrorActionPreference = 'SilentlyContinue' Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaGUID=*)' -Properties name, schemaGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.schemaGUID,$_.name)} Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.rightsGUID,$_.name)} $ErrorActionPreference = 'Continue' # Get a list of AD objects. $AOs = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName) $AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName $AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName ForEach ($AO in $AOs) { $securityreport += Get-Acl -Path "AD:\$AO" | Select-Object -ExpandProperty Access | Select-Object @{name='organizationalunit';expression={$AO}}, ` @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaGUID.Item($_.objectType)}}}, ` @{name='inheritedObjectTypeName';expression={$schemaGUID.Item($_.inheritedObjectType)}}, ` * } # Filter by single user and export to a CSV file. $User ='Username' $securityreport | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique | Export-Csv -Path "D:\report\permissions.csv" -NoTypeInformation
ADManager Plus
- Vaya a Informes > Informes de seguridad > Objetos de AD accesibles por cuentas.
- Seleccione el dominio y las cuentas de usuario cuyos permisos desea ver. Puede incluso importar esta lista de un archivo CSV. Haga clic en Aplicar.
Captura de pantalla
» Iniciar prueba gratuita de 30 días
Este informe brinda información sobre los permisos de acceso de una cuenta de AD.
Aunque ver los permisos NTFS para objetos de AD con herramientas nativas como PowerShell parece simple, tiene algunas limitaciones:
- La secuencia de comandos de PowerShell solo se puede ejecutar desde los equipos que tienen instalado el rol de Servicios de dominio de Active Directory.
- En caso de que se requiera permiso para otros objetos de AD, se debe escribir una secuencia de comandos nueva y compleja.
- La sintaxis, los parámetros y las iteraciones deben ser correctos. Un error tipográfico o una sintaxis incorrecta pueden ser difíciles de detectar y rectificar, especialmente cuando el guion es largo.
ADManager Plus le permite realizar lo mismo con unos pocos clics desde su consola GUI basada en web. También tiene opciones para programar y enviar automáticamente los informes por correo electrónico. Obtenga más información al respecto de la creación de permisos de AD.
Obtenga un control total sobre los permisos NTFS y los archivos compartidos con informes especialmente diseñados.
Obtenga una prueba gratuita de 30 días.Guías prácticas de PowerShell relacionadas:
-
Para la gestión de usuarios de AD
- Pasos para crear una nueva cuenta de usuario de AD con PowerShell
- Importe usuarios de AD a Active Directory desde CSV con PowerShell
- Cómo modificar los atributos de los usuarios de AD mediante secuencias de comandos de PowerShell
- Cómo habilitar cuentas de usuario de Active Directory con PowerShell
- Pasos para deshabilitar cuentas de AD con PowerShell
- Cómo eliminar una cuenta de usuario en AD con PowerShell
- Cómo mover una cuenta de usuario en Active Directory mediante secuencias de comandos de PowerShell
- Cómo mover objetos en AD con secuencias de comandos de PowerShell
- Cómo establecer la fecha de caducidad para cuentas de AD con PowerShell
- Cómo modificar el control de cuenta de AD mediante secuencias de comandos de PowerShell
- Desbloquee cuentas de usuario de Active Directory múltiples o específicas con PowerShell
- Cómo modificar una cuenta en Active Directory mediante secuencias de comandos de PowerShell
- Establecer las cuentas de AD para que nunca caduquen con PowerShell
- Agregue o actualice la dirección de proxy para el usuario de AD con secuencias de comandos de PowerShell
-
Para informes de usuarios de AD
- Obtenga la lista de todos los usuarios de Active Directory que usan PowerShell
- Cómo exportar usuarios activos e inactivos en AD con PowerShell
- Cómo encontrar usuarios habilitados en AD con o sin usar secuencias de comandos de PowerShell
- Encuentre usuarios cuyas cuentas han sido deshabilitadas en AD con o sin usar secuencias de comandos de PowerShell
- Pasos para obtener el estado de cuentas de AD con PowerShell
- Genere un informe de usuarios bloqueados de Active Directory con PowerShell.
- Encuentre usuarios de Active Directory con cuentas caducadas mediante PowerShell
- Muestre el último inicio de sesión de los usuarios de Active Directory mediante PowerShell.
- Muestre las cuentas de usuario de AD establecidas para que no caduquen nunca con PowerShell
-
Para la gestión de GPO
- Crear nuevos objetos de directiva de grupo con secuencias de comandos de PowerShell
- Aprenda a usar PowerShell para agregar o quitar vínculos de GPO
- Editar directiva de grupo mediante secuencias de comandos de PowerShell
- Encontrar GPO no vinculados en Active Directory con PowerShell
- Obtener la lista de todos los GPO en su AD con secuencias de comandos de PowerShell
- Cómo obtener todos los GPO y sus vínculos con PowerShell
- Copia de seguridad y restauración de objetos de directiva de grupo con PowerShell
-
Para la gestión de contraseñas
- Cómo cambiar la contraseña para usuarios de AD con PowerShell
- Encontrar la fecha de cambio de la última contraseña de usuario de AD con PowerShell
- Pasos para establecer una contraseña para una cuenta de AD con PowerShell
- Establezca que el usuario de AD debe cambiar la contraseña en el próximo inicio de sesión con PowerShell
- Establecer una contraseña de usuario de AD para que nunca caduquen con PowerShell
- Muestre los usuarios de AD cuyas contraseñas nunca caducan con PowerShell
- Obtener la fecha de caducidad de contraseña de usuarios de AD con PowerShell
-
Para la gestión de grupos de AD
- ¿Cómo crear un grupo en Active Directory mediante secuencias de comandos de PowerShell?
- Agregue usuarios a grupos con PowerShell
- Agregue un objeto de grupo a otro grupo en Active Directory mediante PowerShell
- Cómo agregar un miembro a grupos de Active Directory mediante secuencias de comandos de PowerShell
- Cómo modificar los atributos de los grupos de AD mediante secuencias de comandos de PowerShell
- Cómo eliminar un grupo de otro en AD con PowerShell
- Crear nuevos grupos de distribución dinámicos en Microsoft Office 365
- Crear grupos de distribución mediante Powershell
- Agregar varios miembros a grupos de distribución con PowerShell
- ¿Cómo ver y exportar miembros de un grupo en Active Directory mediante secuencias de comandos de PowerShell?
-
Para la gestión de acceso a archivos
- ¿Cómo establecer y modificar permisos de carpeta en Active Directory mediante secuencias de comandos de PowerShell?
- Obtener permisos de todos los objetos AD con PowerShell
- Cómo obtener la ACL para carpetas y subcarpetas con PowerShell - ADManagerPlus
- Generar y exportar permisos NTFS con secuencias de comandos de PowerShell
-
Para la gestión de equipos AD
- Cree objetos de equipo en Active Directory con PowerShell
- Cómo modificar los atributos de los equipos de AD mediante secuencias de comandos de PowerShell
- Pasos para habilitar el equipo de Active Directory con PowerShell
- Pasos para deshabilitar el equipo de Active Directory con PowerShell
- Cómo mover una cuenta de equipo en Active Directory mediante secuencias de comandos de PowerShell
- Cómo eliminar equipos AD usando PowerShell
- Pasos para buscar equipos de Active Directory inactivos con PowerShell
- ¿Cómo generar informes sobre la última hora de inicio de sesión de los equipos de AD con secuencias de comandos de PowerShell?
- Cómo usar PowerShell para mostrar todos los objetos de equipos de Active Directory
-
Para la gestión de Office 365
- Cómo conectarse al módulo PowerShell de Office 365
- Agregar usuarios y propietarios de forma masiva a los grupos de Office 365 con PowerShell
- Cómo cambiar licencias de usuarios de Office 365 con PowerShell
- Get-Msolaccountsku: Vea todas las licencias de Office 365 en su cuenta
- Eliminar la licencia de Office 365 de las cuentas de usuario con PowerShell
- Obtener el informe de licencia de usuario de Office 365 con PowerShell
- Cómo obtener todos los miembros de grupos de Office 365 con PowerShell
- Obtenga los miembros de todos los grupos de distribución dinámicos en Office 365
- Exporte la lista de todos los grupos de distribución dinámicos en Office 365 con PowerShell
-
Para la gestión de Exchange
- Guía rápida para conectarse a Exchange Online PowerShell | ADManager Plus
- Cómo crear buzones en Exchange Online con PowerShell
- Eliminar o quitar buzones de correo de Exchange Online con PowerShell
- Exportar todas las listas de grupos de distribución de Exchange Online con PowerShell
- Cree buzones en servidores Exchange con secuencias de comandos de PowerShell
- Eliminar o quitar buzones de correo en Exchange Server con secuencias de comandos de PowerShell
- Exportar informe de miembros del grupo de distribución de Office 365 con PowerShell
ADManager Plus Confiado por
Gestión de Active Directory y herramienta de informes.
Related Products