在Windows Server 2008 R2 AD中,是否可以从用户对象获取用户pipe理的OU列表,还是需要parsingOU列表?
(即,在OUpipe理的User对象上是否有表示,还是仅在OU上有var)
不,用户帐户/对象不包含“此对象可以pipe理的事物”的属性。
权限由对象本身的ACL / ACE (访问控制列表/访问控制条目)处理,这些条目定义了其他对象有权限对持有ACL的对象进行操作。
为了弄清给定的用户有权限pipe理的所有OU,该方法是一个脚本,它扫描你所有的OU,并返回那些目标用户拥有你感兴趣的权限(并且是彻底的,你的用户是其成员)。
看起来好像是Ashley McGlone的一个PowerShell脚本,它可以完成你所需要的大部分function,并为你提供一个shiny的csv或Excel文件 。 当然,您可以在PowerShell控制台中执行相同的操作,根据您感兴趣的用户筛选结果,然后更改返回的格式和属性,但是(没有违法),看起来像是一个小问题,而我现在有一点点砰的一声,所以我不会为你冲上去的,但是这将是一个相对简单的Get-Acl cmdlet的核心。
您无法从AD中的实际用户对象中看到特定用户有权访问的OU。 但是,您可以在PowerShell中使用称为DSACLS的强大工具。 您将以pipe理员身份运行PowerShell,然后使用以下命令:
dsacls“ou = nameofou,dc = domainname,dc = com”
用你想要的OU和你的AD域名replacenameofou和domainname。
有关更多帮助,请参阅DSACLS下的部分: http : //blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspx