我们正在尝试编写一个脚本来设置一大组GPO的权限。 我们遇到的麻烦是我们在网上find的所有方法都不允许设置自定义或特殊权限。 以下是我们迄今为止使用的方法,没有产生我们需要的结果。
方法1 – XML报告
$xmlReport = $gpo.GenerateReport('xml') 该命令只返回受托人的姓名。 还包括一些属性,我是不确定的,如果有关。
方法2 – ADSI / LDAP对象
$GPOACLList = $GPOObjSec.GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier])
此方法返回组和权限,但不以粒度方式返回。 返回的“FileSystemRights”是ACL的“FullControl”,我知道它被认为是具有细化权限的自定义/特殊的。
方法3 – Get-GPPermission
Get-GPPermission $gpoWithAppSpec -all | select -ExpandProperty permission
返回类似于可用于Set-GPPermission的权限,例如“GpoApply”,“GpoEditDeleteModifySecurity”,“GpoRead”。 再次,这些不是细化权限。