Comment visualiser les autorisations pour tout objet dans Active Directory ?
Lisez la suite pour savoir comment afficher les autorisations de n'importe quel objet dans Active Directory (AD) à l'aide de PowerShell et comment vous pouvez le faire facilement avec ADManager Plus.
Windows PowerShell
- Identifiez le domaine où se trouve l'objet pour lequel les autorisations doivent être consultées.
- Créez et compilez le script pour visualiser les autorisations de l'objet AD. Exécutez le script dans PowerShell.
- Exemple de script pour changer le paramètre du mot de passe en « L’utilisateur doit changer le mot de passe à la prochaine connexion » pour un compte utilisateur AD :
Copied
$securityreport = @()
$schemaGUID = @{}
$ErrorActionPreference = 'SilentlyContinue' Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaGUID=*)' -Properties name, schemaGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.schemaGUID,$_.name)} Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.rightsGUID,$_.name)} $ErrorActionPreference = 'Continue' # Get a list of AD objects. $AOs = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName) $AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName $AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName ForEach ($AO in $AOs) { $securityreport += Get-Acl -Path "AD:\$AO" | Select-Object -ExpandProperty Access | Select-Object @{name='organizationalunit';expression={$AO}}, ` @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaGUID.Item($_.objectType)}}}, ` @{name='inheritedObjectTypeName';expression={$schemaGUID.Item($_.inheritedObjectType)}}, ` * } # Filter by single user and export to a CSV file. $User ='Username' $securityreport | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique | Export-Csv -Path "D:\report\permissions.csv" -NoTypeInformation
$schemaGUID = @{}
$ErrorActionPreference = 'SilentlyContinue' Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaGUID=*)' -Properties name, schemaGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.schemaGUID,$_.name)} Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.rightsGUID,$_.name)} $ErrorActionPreference = 'Continue' # Get a list of AD objects. $AOs = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName) $AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName $AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName ForEach ($AO in $AOs) { $securityreport += Get-Acl -Path "AD:\$AO" | Select-Object -ExpandProperty Access | Select-Object @{name='organizationalunit';expression={$AO}}, ` @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaGUID.Item($_.objectType)}}}, ` @{name='inheritedObjectTypeName';expression={$schemaGUID.Item($_.inheritedObjectType)}}, ` * } # Filter by single user and export to a CSV file. $User ='Username' $securityreport | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique | Export-Csv -Path "D:\report\permissions.csv" -NoTypeInformation
ADManager Plus
- Allez dans Rapports > Rapports de sécurité > Objets AD accessibles par les comptes.
- Sélectionnez le Domaine et le(s) compte(s) utilisateur(s) pour lesquels vous souhaitez consulter les autorisations. Vous pouvez même importer cette liste à partir d'un fichier CSV. Cliquez sur Appliquer.
Screenshot
» Commencer l'essai gratuit de 30 jours
Ce rapport donne un aperçu des autorisations d'accès d'un compte AD.
Si l'affichage des autorisations pour les objets AD avec des outils natifs comme PowerShell paraît simple, il comporte quelques limitations :
- Le script PowerShell ne peut être exécuté qu'à partir d’ordinateurs sur lesquels le rôle de services de domaine Active Directory est installé.
- Si des autorisations pour d'autres objets AD sont nécessaires, un nouveau script complexe doit être écrit.
- La syntaxe, les paramètres et les itérations doivent être corrects. Une coquille ou une mauvaise syntaxe seront difficiles à repérer et à rectifier, surtout si le script est long.
ADManager Plus vous permet de faire de même en quelques clics à partir de sa console GUI basée sur le Web. Il dispose également d'options permettant de programmer et d'envoyer automatiquement les rapports par courrier électronique. En savoir plus sur le rapport des autorisations AD.
Gestion des boîtes aux lettres à guichet unique pour Exchange et Office 365 avec ADManager Plus.
Obtenez un essai gratuit de 30 joursGuides pratiques Powershell connexes:
Pour la gestion des utilisateurs AD
- Étapes à suivre pour désactiver les comptes AD à l'aide de PowerShell
- Importer des utilisateurs AD dans Active Directory à partir de CSV en utilisant PowerShell
- Comment déplacer un compte utilisateur dans Active Directory à l'aide de scripts PowerShell
- Comment modifier le contrôle des comptes AD à l'aide de scripts PowerShell
- Comment définir la date d'expiration des comptes AD à l'aide de PowerShell ?
- Débloquez des comptes utilisateurs Active Directory multiples ou spécifiques à l'aide de PowerShell
- Étapes à suivre pour créer un nouveau compte d'utilisateur AD à l'aide de PowerShell
- Comment supprimer un compte d'utilisateur dans AD à l'aide de PowerShell ?
- Comment activer les comptes utilisateurs Active Directory à l'aide de PowerShell
- Comment supprimer des utilisateurs d'un groupe Active Directory
- Comment modifier un compte dans Active Directory à l'aide de scripts PowerShell
- Configurer les comptes AD pour qu'ils n'expirent jamais en utilisant PowerShell
- Ajouter ou mettre à jour l'adresse proxy d'un utilisateur AD avec des scripts PowerShell
- Comment modifier les attributs des utilisateurs AD à l'aide de scripts PowerShell ?
Pour les rapports sur les utilisateurs AD
- Étapes à suivre pour obtenir le statut d'un compte AD en utilisant PowerShell
- Trouver les utilisateurs dont les comptes ont été désactivés dans AD avec ou sans utiliser de scripts PowerShell
- Recherche en utilisant PowerShell des utilisateurs Active Directory dont le compte a expiré
- Générer un rapport sur les utilisateurs verrouillés d'Active Directory en utilisant PowerShell.
- Comment exporter les utilisateurs actifs & inactifs dans AD en utilisant PowerShell
- Comment trouver les utilisateurs activés dans AD avec ou sans utiliser les scripts PowerShell
- Listez les dernières connexions des utilisateurs d'Active Directory à l'aide de PowerShell.
- Obtenir la liste de tous les utilisateurs d'Active Directory en utilisant PowerShell
- Liste des comptes d'utilisateurs AD définis pour ne jamais expirer avec PowerShell
- Obtenir des informations sur les utilisateurs AD et leurs responsables à l'aide de Powershell
Pour la gestion des GPO
- Sauvegarde et restauration des objets de stratégie de groupe à l'aide de PowerShell
- Apprenez à utiliser PowerShell pour ajouter ou supprimer des liens GPO
- Trouver les GPO non liés dans Active Directory en utilisant PowerShell
- Créer de nouveaux objets de stratégie de groupe avec des scripts Powershell
- Modifier la stratégie de groupe à l'aide de scripts PowerShell
- Obtenez la liste de tous les GPO dans votre AD en utilisant des scripts PowerShell
- Comment obtenir toutes les GPO et leurs liens en utilisant PowerShell
Pour la gestion des mots de passe
- Comment changer le mot de passe des utilisateurs AD à l'aide de PowerShell ?
- Trouver la date de modification du dernier mot de passe d'un utilisateur AD à l'aide de PowerShell
- Comment définir un mot de passe pour un compte AD à l'aide de PowerShell ?
- Liste des utilisateurs AD dont les mots de passe n'expirent jamais en utilisant PowerShell
- Obtenez la date d'expiration du mot de passe des utilisateurs AD en utilisant Powershell
- L'utilisateur AD défini doit changer son mot de passe à la prochaine connexion avec PowerShell
- Configurer le mot de passe d'un utilisateur AD pour qu'il n'expire jamais en utilisant PowerShell
Pour la gestion des groupes AD
- Ajoutez un objet de groupe à un autre groupe dans Active Directory à l'aide de PowerShell
- Comment ajouter un membre aux groupes Active Directory à l'aide de scripts PowerShell
- Ajouter plusieurs membres à des groupes de distribution à l'aide de PowerShell
- Ajouter des utilisateurs à des groupes à l'aide de PowerShell
- Comment créer un groupe dans Active Directory en utilisant des scripts PowerShell ?
- Comment afficher et exporter les membres d'un groupe dans Active Directory à l'aide de scripts PowerShell ?
- Créer de nouveaux groupes de distribution dynamiques dans Microsoft Office 365
- Comment modifier les attributs d'un groupe AD à l'aide de scripts PowerShell ?
- Comment supprimer un groupe d'un autre dans AD à l'aide de PowerShell ?
Pour la gestion de l'accès aux fichiers
- Comment obtenir l'ACL pour les dossiers et sous-dossiers en utilisant Powershell - ADManagerPlus
- Générez et exportez les autorisations NTFS à l'aide de scripts PowerShell
- Obtenir les autorisations de tous les objets AD en utilisant PowerShell
- Comment définir et modifier les autorisations des dossiers dans Active Directory à l'aide de scripts PowerShell ?
Pour la gestion des ordinateurs AD
- Comment déplacer un compte d'ordinateur dans Active Directory à l'aide de scripts PowerShell
- Comment générer des rapports sur la dernière heure de connexion des ordinateurs AD à l'aide de scripts PowerShell ?
- Comment supprimer des ordinateurs AD en utilisant PowerShell
- Créer des objets informatiques dans Active Directory en utilisant PowerShell
- Étapes à suivre pour désactiver un ordinateur Active Directory à l'aide de PowerShell
- Étapes à suivre pour activer un ordinateur Active Directory à l'aide de PowerShell
- Étapes à suivre pour trouver des ordinateurs Active Directory inactifs à l'aide de PowerShell
- Comment utiliser PowerShell pour répertorier tous les objets informatiques Active Directory
- Comment modifier les attributs AD d'un ordinateur à l'aide de PowerShell ?
Pour la gestion d'Office 365
- Ajout en bloc d'utilisateurs et de propriétaires à des groupes Office 365 à l'aide de PowerShell
- Attribuez des licences en bloc aux utilisateurs d'Office 365 à l'aide de PowerShell
- Comment modifier les licences d'utilisateur Office 365 à l'aide de PowerShell
- Get-Msolaccountsku : Afficher toutes les licences Office 365 sur votre compte
- Comment obtenir tous les membres d'un groupe Office 365 à l'aide de PowerShell ?
- Obtenez un rapport sur les licences d'utilisateur Office 365 à l'aide de PowerShell
- Comment se connecter au module PowerShell d'Office 365 ?
- Obtenir les membres de tous les groupes de distribution dynamiques dans Office 365
- Exporter la liste de tous les groupes de distribution dynamiques dans Office 365 à l'aide de PowerShell
- Supprimez la licence Office 365 des comptes d'utilisateurs à l'aide de Powershell
Pour la gestion des échanges
- Comment créer des boîtes aux lettres dans Exchange Online à l'aide de PowerShell
- Créez des boîtes aux lettres dans les serveurs Exchange avec des scripts PowerShell
- Exportez la liste de tous les groupes de distribution d'Exchange Online à l'aide de PowerShell
- Exportation du rapport sur les membres des groupes de distribution Office 365 à l'aide de PowerShell
- Guide rapide pour se connecter à Exchange Online PowerShell | ADManager Plus
- Supprimer ou retirer des boîtes aux lettres d'Exchange Online en utilisant Powershell
- Supprimer ou retirer des boîtes aux lettres dans Exchange Server avec des scripts PowerShell