Настройка «Запись атрибута члена» в ACL для объекта Active Directory с PowerShell

Question

Я хотел бы программно разрешить данному субъекту безопасности (пользователю или группе) в AD иметь разрешение на запись в атрибут member в группе AD.

Я предполагаю, что это будетФорма:

$GroupObject = Get-ADGroup $group
$ACL = Get-ACL AD:$GroupObject
$ACE = New-Object System.Security.AccessControl.ActiveDirectoryAccessRule (
    $manager,
    ...
)
$ACL.AddAccessRule($ACE)
Set-ACL -Path AD:$GroupObject -AclObject $ACL

Я не могу найти документацию о том, что еще нужно сделать в ..., чтобы сделать эту работу.Даже дайвинг, выполняющий это вручную и проверяющий объекты ACL, оказывается трудным!

Answer 1

Вы бы использовали этот конструктор для ActiveDirectoryAccessRule: https://msdn.microsoft.com/en-us/library/cawwkf0x(v=vs.110).aspx

Это должно выглядеть примерно так:

$ACE = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(
    $manager.SID,
    [System.DirectoryServices.ActiveDirectoryRights]::WriteProperty,
    [System.Security.AccessControl.AccessControlType]::Allow,
    "bf9679c0-0de6-11d0-a285-00aa003049e2",
    [DirectoryServices.ActiveDirectorySecurityInheritance]::All
)

Обратите внимание, что вам нужно передать SID пользователя($manager.SID).

Таинственный GUID - это GUID атрибута member.Вы можете найти это, посмотрев в документации Microsoft для атрибутов.Это страница для member, где вы можете найти "System-Id-Guid": https://msdn.microsoft.com/en-us/library/ms677097(v=vs.85).aspx