none
add-qadpermission wie vergebe ich erweiterte Permissions? RRS feed

  • Frage

  • Hallo,

    ich habe mal wieder ein kleines Problem, ich finde keine Lösung um bestimmte Permissions über Powershell zu verändern siehe Bild.

    Die Frage ist, wie kann ich einer Gruppe über eine bestimmte OU mit "Descendant Computer Objects" <- Full Controll zuweisen?

    mein Lösungsansatz war mit den Quest Tools:

    Add-QADPermission -identity "OU=TestOU,DC=test,DC=local" -Account "CN=testgro
    up2,OU=Groups,OU=EK,DC=test,DC=local" -Rights ‘genericall‘ -ApplyTo 'descendant computer objects'

    leider klappt dass nicht.
    Ich hoffe das ihr mir auf die Sprünge weiterhelfen könnt.

    Grüße
    Shellcommander

    Mittwoch, 27. März 2013 09:04

Antworten

  • Man Heute steh ich auf dem Schlauch ...
    ExtendedRight ist die falsche Fährte!
    Du musst die beiden Parameter Kombinieren!
    -ApplyTo 'ChildObjects' -ApplyToType 'computer'

    So müsst es gehen:

    Add-QADPermission -identity "OU=TestOU,DC=test,DC=local" -Account "CN=testgroup2,OU=Groups,OU=EK,DC=test,DC=local" -Rights ‘genericall‘ -ApplyTo 'ChildObjects' -ApplyToType 'computer'


    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!



    Mittwoch, 27. März 2013 13:46

Alle Antworten

  • Wenn du dir die Quest Tools Installiert hast dann solltest du auch das sehr gute Dokumentations-PDF bei Quest /DELL herunterladen!

    Mach mal folgendes :

    Get-Help Add-QADPermission -Full

    Dann schau dir mal den Parameter -ExtendedRight an ;-))

    Und siehe hier: http://msdn.microsoft.com/en-us/library/windows/desktop/ms683985%28v=vs.85%29.aspx


    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Mittwoch, 27. März 2013 09:20
  • Danke den Parameter habe ich übersehen, aber leider bringt der mich auch nicht weiter.

    Vielleicht mache ich auch was falsch, danke für die Hilfe.

    Fehler:

    WARNING: Invalid extended right name: descendant computer objects

    Mittwoch, 27. März 2013 10:32
  • Du solltest dir wirklich mal angewöhnen die Dokumentation zu lesen!
    Der Parameter -ApplyTo akzeptiert 'descendant computer objects' nicht!

    ApplyTo
    Depending on the cmdlet you use, this parameter lets you either retrieve or add ACEs that have a
    particular inheritance type set. Valid parameter values are:
    'ThisObjectOnly' - Indicates no inheritance. The ACE information is only used on the object on
    which the ACE is set. ACE information is not inherited by any descendents of the object.
    'All' - Indicates inheritance that includes the object on which the ACE is set, the object's
    immediate children, and the descendents of the object's children.
    'ChildObjects' - Indicates inheritance that includes the object's immediate children and the
    descendants of the object's children, but not the object itself.
    Quest ActiveRoles Management Shell for Active Directory
    216
    'ThisObjectAndImmediateChildObjects' - Indicates inheritance that includes the object itself
    and its immediate children. It does not include the descendents of its children.
    'ImmediateChildObjectsOnly' - Indicates inheritance that includes the object's immediate
    children only, not the object itself or the descendents of its children.


    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Mittwoch, 27. März 2013 11:10
  • Du solltest dir wirklich mal angewöhnen die Dokumentation zu lesen!
    Der Parameter -ApplyTo akzeptiert 'descendant computer objects' nicht!

    ApplyTo
    Depending on the cmdlet you use, this parameter lets you either retrieve or add ACEs that have a
    particular inheritance type set. Valid parameter values are:
    'ThisObjectOnly' - Indicates no inheritance. The ACE information is only used on the object on
    which the ACE is set. ACE information is not inherited by any descendents of the object.
    'All' - Indicates inheritance that includes the object on which the ACE is set, the object's
    immediate children, and the descendents of the object's children.
    'ChildObjects' - Indicates inheritance that includes the object's immediate children and the
    descendants of the object's children, but not the object itself.
    Quest ActiveRoles Management Shell for Active Directory
    216
    'ThisObjectAndImmediateChildObjects' - Indicates inheritance that includes the object itself
    and its immediate children. It does not include the descendents of its children.
    'ImmediateChildObjectsOnly' - Indicates inheritance that includes the object's immediate
    children only, not the object itself or the descendents of its children.


    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    danke habe ich, der Fehlercode kommt mit extendedright.

    Ich weiß auch dass es mit applyto nicht funktionieren kann, ich wollte nur ein Beispiel veranschaulichen damit man versteht wie ich es meine.

    in der Warnung steht auch Invalid extended right.

    Danke für die Hilfe

    Mittwoch, 27. März 2013 12:00
  • Ja, sorry! da habe ich dein 1. und zweiten Post vermischt und falsche Schlüsse gezogen!
    Wäre besser, wenn du keine abstrakten Beispiele Posten würdest, sondern echte Fehlermeldungen mit echten Befehlen!

    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Mittwoch, 27. März 2013 12:27
  • Ja, sorry! da habe ich dein 1. und zweiten Post vermischt und falsche Schlüsse gezogen!
    Wäre besser, wenn du keine abstrakten Beispiele Posten würdest, sondern echte Fehlermeldungen mit echten Befehlen!

    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!

    Kein Problem ist ja auch gerade Mittag ;)

    Also mein Code mit Fehlermeldung sieht so aus:

    PS C:\Users\Administrator.test> Add-QADPermission -identity "OU=TestOU,DC=test,DC=local" -Account "CN=testgroup,OU=Groups,OU=EK,DC=test,DC=local" -Rights ‘genericall‘ -extendedright 'descendant computer objects'
    WARNING: Invalid extended right name: descendant computer objects
    WARNING: No valid extended rights specified. Skip -ExtendedRight switch.
    Ctrl   Account                                  Rights                              Source           AppliesTo
    ----   -------                                  ------                              ------           ---------
           Test\testgroup                     Create/Delete Child objects         Not inherited    This object and...
           test\testgroup                     Read/Write all properties           Not inherited    This object and...
           test\testgroup                     All extended rights                 Not inherited    This object and...
           test\testgroup                     All validated writes                Not inherited    This object and...
           test\testgroup                     Special                             Not inherited    This object and...
    PS C:\Users\Administrator.test>


    Mittwoch, 27. März 2013 12:41
  • Man Heute steh ich auf dem Schlauch ...
    ExtendedRight ist die falsche Fährte!
    Du musst die beiden Parameter Kombinieren!
    -ApplyTo 'ChildObjects' -ApplyToType 'computer'

    So müsst es gehen:

    Add-QADPermission -identity "OU=TestOU,DC=test,DC=local" -Account "CN=testgroup2,OU=Groups,OU=EK,DC=test,DC=local" -Rights ‘genericall‘ -ApplyTo 'ChildObjects' -ApplyToType 'computer'


    Please click “Mark as Answer” if my post answers your question and click “Vote As Helpful” if my Post helps you.
    Bitte markiere hilfreiche Beiträge von mir als “Als Hilfreich bewerten” und Beiträge die deine Frage ganz oder teilweise beantwortet haben als “Als Antwort markieren”.
    My PowerShell Blog http://www.admin-source.info
    [string](0..21|%{[char][int]([int]("{0:d}" -f 0x28)+('755964655967-86965747271757624-8796158066061').substring(($_*2),2))})-replace' '
    German ? Come to German PowerShell Forum!



    Mittwoch, 27. März 2013 13:46
  • ich muss nochmal danke sagen,

    ich habe daran mehr als eine Woche rumprobiert.

    Vielen Dank

    Shellcommander

    Mittwoch, 27. März 2013 14:39