ADオブジェクトの属性値をPowerShellから操作したいと考えています。
属性値を触るアカウントに対して管理者権限を色々割り振ってみたのですが属性値を触れたのが今のところ
・Enterprise Admin
・Administrators
・Domain Admin
の3種でした。
これ以外に属性値が触れる権限ってありますでしょうか。
なにか公式情報や個人ブログとかで書かれていたりしたら共有もしていただきたいです。
>これ以外に属性値が触れる権限ってありますでしょうか。 ADオブジェクトの種類によりますね。例えばユーザーやコンピューターなら「Account Operators」グループに、フルコントロール権限が割り当てられると思います。ADオブジェクトを編集するユーザーを既存の管理者グループに入れるのも良いですが、不必要な管理者権限を与えてしまう可能性もありますので、「オブジェクト制御の委任」で 限定した編集権限を与えることもご検討頂くと良いのではないでしょうか。
参考URL)https://blogs.manageengine.jp/ou_delegation/
ご回答いただきありがとうございます。
制御の委任で進める形になりましたのでこちら参考にさせていただきます。
