Delegacja uprawnień Active Directory z Powershella

Delegacja uprawnień Active Directory z Powershella

O delegacji uprawnień do obiektów Active Directory było już wiele artykułów, ale zdecydowana większość z nich  opiera się o przeklikiwanie delegacji z interfejsu graficznego. Nie dość, że zajmuje to sporo czasu, to odnalezienie szczegółowego atrybuty, do którego chcemy przekazać kontrolę innej osoby może skończyć się oczopląsem… 😉

Jak więc zrobić to szybciej i sprawniej? Oczywiście wykorzystując Powershella.

Niezbędna będzie zainstalowana przystawka Quest AD Management (dla mnie wygodniejsza niż natywny moduł do AD)

I teraz załóżmy, że chcemy wydelegować uprawnienia do modyfikacji atrybutu ‚physicalDeliveryOfficeName’ użytkowników w jednostce „OU=IT,DC=mkrzanowicz,DC=corp” dla grupy „PhoneAdmins”:

Wystarczy, że w tym celu wykorzystamy polecenie:

Jesli uprawnienia mają być delegowane również „w dół” to używamy przełącznika -ApplyTo ‚ChildObjects’ w przeciwnym wypadku -ApplyTo ‚ThisObjectOnly’.

Jeśli chcemy jawnie odmówić jakiegoś uprawnienia, to dorzucamy przełącznik -Deny

W przypadku, gdy chcemy zastosować do konkretnych obiektów, to uwzględniamy je w przełączniku -ApplyToType  np: ‚group’, ‚organizationalUnit’,’user’ itd.

Natomiast typ delegowanych uprawnień obsługujemy przełącznikiem -Rights np: ‚ReadProperty’,’WriteProperty’, ‚CreateChild’  itd.

Jeśli wykorzystamy uprawnienie ‚CreateChild’ to możemy dodatkowo określić jakich typów będzie ono dotyczyć np: -ChildType ‚user’

 

Polecenie jest na prawdę bardzo użyteczne i pozwala wykonać zasadniczo każą, najbardziej zawiłą delegacje uprawnień. Ostatecznie możemy również uprawnienia skopiowac z wzorcowej jednostki 1:1 poleceniem:

Enjoy! 😉

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *