none
Active Directory - Extended Right per CLI RRS feed

  • Frage

  • Hallo,

    ich suche eine Möglichkeit im AD die Sicherheitseinstellungen per CLI zu ändern. Hier speziell das zurückziehen (nicht Verweigern) von Extended Rights (einzelne).

    Ich habe es per dsalc versucht aber keine Lösung gefunden, da dieses Tool nur Grant oder Deny kann. Unter Powershell per Set-ACLs habe ich auch keine Lösung gefunden.

    Gibt es da noch eine Möglichkeit?

    Danke

    Donnerstag, 28. März 2013 18:19

Antworten

  • Guten Tag,

    hat eine Weile gedauert habe aber über Exchange eine Lösung gefunden:

    Remove-ADPermission "<Dest.Name User>" -User <User-to-remove> -ExtendedRights "Send As"

    Das kann dann auf alle User angewandt werden.

    • Als Antwort markiert Thomas Al Dienstag, 18. Juni 2013 08:19
    Dienstag, 18. Juni 2013 08:19

Alle Antworten

  • Hi,

    der Artikel könnte helfen: http://blogs.msdn.com/b/adpowershell/archive/2009/10/13/add-object-specific-aces-using-active-directory-powershell.aspx

    Von Get / Set-Acl würde ich die Finger lassen und die auf die ACL eher über die Eigenschaft objectSecuruty zugreifen, wie in dem Beispiel unten:

    function Add-ADAccess
    {
        param(
            $DN,
            $Account,
            $AccessRight
        )
    
        $object = [ADSI]"LDAP://$DN"
    
        $sd = $object.psbase.ObjectSecurity  
    
        # set the rights and control type
        $accessType = [System.Security.AccessControl.AccessControlType]::Allow
    
        $account = New-Object -TypeName System.Security.Principal.NTAccount($Account)
    
        # apply
        $ace = New-Object -TypeName System.DirectoryServices.ActiveDirectoryAccessRule($account, $accessRight, $accessType)
        $sd.AddAccessRule($ace)
        $object.psbase.CommitChanges() 
    }
    Die Kombination aus diesem Bespiel und dem in dem Blog sollte die Lösung sein.


    -Raimund

    Mittwoch, 10. April 2013 21:36
  • Guten Tag,

    hat eine Weile gedauert habe aber über Exchange eine Lösung gefunden:

    Remove-ADPermission "<Dest.Name User>" -User <User-to-remove> -ExtendedRights "Send As"

    Das kann dann auf alle User angewandt werden.

    • Als Antwort markiert Thomas Al Dienstag, 18. Juni 2013 08:19
    Dienstag, 18. Juni 2013 08:19