Active Directory计算机对象上的Set-ACL

Question

Active Directory计算机对象上的Set-ACL

5

我正在尝试在AD中设置计算机对象的访问控制列表（ACL）。首先，我使用以下命令获取ACL：

$acl = (Get-Acl AD:\'CN=Tester1,OU=Ou1,OU=OU2,OU=OU3,DC=Contoso,DC=com').Access

这给了我该计算机对象的所有ACL。然后我使用：

$acl.AddAccessRule((New-Object System.Security.AccessControl.FileSystemAccessRule("Computername","FullControl")))

任何指向正确方向的提示都将有所帮助。我的目标是将计算机对象添加到计算机对象“Tester1”中，并赋予它完全访问权限。

- djsnakz

2个回答

1

如果要创建AD对象，你必须使用System.DirectoryServices.ActiveDirectoryAccessRule对象而不是System.Security.AccessControl.FileSystemAccessRule。

这里有一个很好的描述和示例：Add Object Specific ACEs using Active Directory Powershell

- Yuriy

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Ansgar Wiechers · Accepted Answer

ActiveDirectory不是一个文件系统。您必须创建一个新的ACE，作为AD对象的一个ActiveDirectoryAccessRule。

$path = "AD:\CN=Tester1,OU=Ou1,OU=OU2,OU=OU3,DC=Contoso,DC=com"
$acl = Get-Acl -Path $path
$ace = New-Object Security.AccessControl.ActiveDirectoryAccessRule('DOMAIN\Computername','FullControl')
$acl.AddAccessRule($ace)
Set-Acl -Path $path -AclObject $acl