Remove From My Forums

Изменение прав на объекте AD | Powershell

Вопрос
0

Нужно войти

Доброго времени суток.

Появилась нужда предоставить группе права на все почтовые группы рассылки по определенному фильтру.

Подскажите, как назначить права?

9 июля 2015 г. 12:15

Ответить

|

Цитировать

Ответы

2

Нужно войти
Значит права применились, проверить можно(должно быть FullControl):

dsacls (Get-ADGroup "ss_test").DistinguishedName | select-string -Pattern "wg_test"
- Помечено в качестве ответа JabBaton 10 июля 2015 г. 8:18
10 июля 2015 г. 7:57

Ответить

|

Цитировать

Отвечающий
1

Нужно войти
/G "DOMAIN\wg_test:WP;member;"
- Изменено KazunEditor 10 июля 2015 г. 8:58
- Помечено в качестве ответа JabBaton 10 июля 2015 г. 9:04
10 июля 2015 г. 8:58

Ответить

|

Цитировать

Отвечающий

Все ответы

2

Нужно войти
Change the Ownership of a Distribution Group - https://technet.microsoft.com/en-us/library/dd638201(v=exchg.141).aspx

Get-DistributionGroup -ResultSize Unlimited - Тут можно запросить только требуемые группы.

http://blogs.technet.com/b/microsoft_exchange_tips/archive/2013/11/07/upgrading-distribution-groups-with-multiple-owners-to-exchange-2013.aspx
- Помечено в качестве ответа JabBaton 9 июля 2015 г. 12:44
- Снята пометка об ответе JabBaton 10 июля 2015 г. 6:04
9 июля 2015 г. 12:36

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Kazun, спасибо большое. А как на обычные группы безопасности права пользователю дать?

9 июля 2015 г. 12:39

Ответить

|

Цитировать

Нужно войти

GenericAll - Полные права

"Admins" - Кому назначаем

*Test* - Группы в которых есть Test

cd ad:

$gr = New-Object System.Security.Principal.SecurityIdentifier (Get-ADGroup "Admins").SID
Get-ADGroup -Filter {GroupCategory -eq "Distribution" -and Name -like '*Test*'} | Foreach {
	$acl = Get-ACL -Path $_.DistinguishedName
	$acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule $gr,"GenericAll","Allow"))
	Set-ACL -ACLObject $acl -Path ("AD:\"+$_.DistinguishedName)
}

9 июля 2015 г. 13:36

Отвечающий

0

Нужно войти

Наличие пользователя во владельцах не добавляет его в безопасность к объекту AD

9 июля 2015 г. 13:50

Ответить

|

Цитировать
0

Нужно войти

Set-ACL : Этот идентификатор безопасности не может быть назначен владельцем этого объекта
строка:8 знак:2
+ Set-ACL -ACLObject $acl -Path ("AD:\"+$_.DistinguishedName)

10 июля 2015 г. 6:47

Ответить

|

Цитировать
1

Нужно войти

Вывод командлета(Admins - заменить на группу, которой предоставляются права):

Get-ADGroup "Admins"

10 июля 2015 г. 6:51

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

так я и заменил. у меня там указана группа wg_test.

назначаю права группе ss_test
Import-Module ActiveDirectory
cd ad:

$gr = New-Object System.Security.Principal.SecurityIdentifier (Get-ADGroup "wg_test").SID
Get-ADGroup -Filter {GroupCategory -eq "Distribution" -and Name -eq 'ss_test'} | Foreach {
$acl = Get-ACL -Path $_.DistinguishedName
$acl.AddAccessRule((New-Object System.DirectoryServices.ActiveDirectoryAccessRule $gr,"GenericAll","Allow"))
Set-ACL -ACLObject $acl -Path ("AD:\"+$_.DistinguishedName)
}

10 июля 2015 г. 7:27

Ответить

|

Цитировать
1

Нужно войти

wg_test - GroupCategory какая?

10 июля 2015 г. 7:29

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Security

10 июля 2015 г. 7:40

Ответить

|

Цитировать
1

Нужно войти

Вывод команды:

dsacls (Get-ADGroup "ss_test").DistinguishedName /g DOMAIN\wg_test:GA

10 июля 2015 г. 7:47

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Куча описания прав.

Команда выполнена успешно

10 июля 2015 г. 7:50

Ответить

|

Цитировать
2

Нужно войти
Значит права применились, проверить можно(должно быть FullControl):

dsacls (Get-ADGroup "ss_test").DistinguishedName | select-string -Pattern "wg_test"
- Помечено в качестве ответа JabBaton 10 июля 2015 г. 8:18
10 июля 2015 г. 7:57

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

правильно я понял, что достаточно этой строчки?

dsacls (Get-ADGroup "ss_test").DistinguishedName /g DOMAIN\wg_test:GA

права применились. вижу группу в безопасности с полным доступом.

А почему вы сразу не написали строчкой, а предоставляли длинный код? Есть разница весомая?

10 июля 2015 г. 8:12

Ответить

|

Цитировать
1

Нужно войти
Достаточно одной строчки. В конечном результате - разницы нет.
- Изменено KazunEditor 10 июля 2015 г. 8:15
10 июля 2015 г. 8:14

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Большое спасибо, Kazun. Вы как всегда на высоте!

10 июля 2015 г. 8:18

Ответить

|

Цитировать
0

Нужно войти
Kazun, все же еще один вопрос.

Мне нужно дать особые права - только Запись:Члены группы

в dsacls такого не вижу.

Есть способ?
- Изменено JabBaton 10 июля 2015 г. 8:53
10 июля 2015 г. 8:50

Ответить

|

Цитировать
1

Нужно войти
/G "DOMAIN\wg_test:WP;member;"
- Изменено KazunEditor 10 июля 2015 г. 8:58
- Помечено в качестве ответа JabBaton 10 июля 2015 г. 9:04
10 июля 2015 г. 8:58

Ответить

|

Цитировать

Отвечающий
0

Нужно войти

Kazun, а где Вы смотрите свойства доступные? Тот же самый member?

10 июля 2015 г. 9:16

Ответить

|

Цитировать
2

Нужно войти

dsa.msc - Вид - Дополнительные компоненты : Выбираем объект - Свойства - Редактор атрибутов

10 июля 2015 г. 9:20

Ответить

|

Цитировать

Отвечающий

Продукты

Resources

Solutions

Обновления

Пробные версии

Сайты по теме

Обучение

Сертификация

Другие материалы и ссылки

Продукты

Другие ссылки

Не специалист по ИТ?

Лучший отвечающий

Изменение прав на объекте AD | Powershell

Вопрос

Ответы

Все ответы