Machtigingen weergeven voor een object in Active Directory?

• Identificeer het domein waarin het object zit waar u de machtigingen voor wilt hebben.
• Maak en compileer het script voor het weergeven van de machtigingen voor het AD-object. Voer het script uit in PowerShell.
• Voorbeeld van script voor het wijzigen van de wachtwoordinstelling naar 'Gebruiker moet wachtwoord wijzigen bij volgende aanmelding' voor een AD-gebruikersaccount:
 Copied
$securityreport = @() $schemaGUID = @{} $ErrorActionPreference = 'SilentlyContinue' Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaGUID=*)' -Properties name, schemaGUID | ForEach-Object {$schemaGUID.add([System.GUID]
$_.schemaGUID,$_.name)} Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.rightsGUID,$_.name)} $ErrorActionPreference = 'Continue' # Get a list of AD objects. $AOs = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName) $AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName $AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName ForEach ($AO in $AOs) { $securityreport += Get-Acl -Path "AD:\$AO" | Select-Object -ExpandProperty Access | Select-Object @{name='organizationalunit';expression={$AO}}, ` @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaGUID.Item($_.objectType)}}}, ` @{name='inheritedObjectTypeName';expression={$schemaGUID.Item($_.inheritedObjectType)}}, ` * } # Filter by single user and export to a CSV file. $User ='Username' $securityreport | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique | Export-Csv -Path "D:\report\permissions.csv" -NoTypeInformation
Klik om het hele script te kopiëren

• Ga naar Rapporten > Beveiligingsrapporten > Voor AD-objecten toegankelijke accounts.
• Selecteer Domein en de gebruikersaccounts waarvan u de machtigingen wilt bekijken. U kunt deze lijst ook importeren vanuit een CSV-bestand.
• Klik op Toepassen.

Schermafbeelding

» Start Gratis proefversie voor 30 dagen