3 votos

Añadir la seguridad de los derechos a la extensión de los derechos guid

Cualquier ayuda sería muy apreciada! Por favor, pregunte si usted no entiende algo. Estoy tratando de explicar lo mejor que puedo.

El valor que yo estoy tratando de editar (CN=DS-Replicación-Get-Cambios-Todos). El rightsGuid para la controlAccessRight es 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2. He utilizado powershell para actualizar los atributos de AD, pero no tienen ni idea de cómo actualizar los derechos en la configuración o el esquema de particiones. He utilizado la siguiente secuencia de comandos para actualizar los derechos de los administradores a ser capaces de cambiar las contraseñas etc... pero ahora tengo que averiguar cómo trabajar con la configuración y el esquema de particiones.

Import-Module ActiveDirectory
#Bring up an Active Directory command prompt so we can use this later on in the script
cd ad:
$acl = get-acl "ad:DC=corp,DC=domain,DC=net"

$group = Get-ADgroup 'AD Service Administration Tasks'

$sid = new-object System.Security.Principal.SecurityIdentifier $group.SID

# The following object specific ACE is to grant Group permission to change user password on all user objects under OU

$objectguid = new-object Guid  00299570-246d-11d0-a768-00aa006e0529 # is the rightsGuid for the extended right User-Force-Change-Password ("Reset Password")  class

$inheritedobjectguid = new-object Guid  bf967aba-0de6-11d0-a285-00aa003049e2 # is the schemaIDGuid for the user

$identity = [System.Security.Principal.IdentityReference] $SID

$adRights = [System.DirectoryServices.ActiveDirectoryRights] "ExtendedRight"

$type = [System.Security.AccessControl.AccessControlType] "Allow"

$inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance] "Descendents"

$ace = new-object System.DirectoryServices.ActiveDirectoryAccessRule$identity,$adRights,$type,$objectGuid,$inheritanceType,$inheritedobjectguid

$acl.AddAccessRule($ace)

Set-acl -aclobject $acl "ad:DC=corp,DC=domain,DC=net"  

1voto

Mathias R. Jessen Puntos 16911

El DS-Replication-Get-All-Changes derecho extendido es muy fácil trabajar con ellos, ya que no se aplican a los objetos individuales, sino a toda una partición!

Usted sólo necesita para establecer de una vez, directamente en el ápice (o "root" del objeto) de la partición, lo que significa que el InheritanceObjectType es totalmente irrelevante, ya que no es la herencia de todos modos.

Import-Module ActiveDirectory

$rootObjPath = "AD:\DC=corp,DC=domain,DC=net"
$rootObjACL = Get-Acl $rootObjPath

$group = Get-ADgroup 'AD Service Administration Tasks'
$SID = New-Object System.Security.Principal.SecurityIdentifier -ArgumentList $group.SID

# The following object specific ACE is to grant Group the permission to replicate all directory changes from this partition
$objectGuid = New-Object Guid 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2

$ADRight = [System.DirectoryServices.ActiveDirectoryRights]"ExtendedRight"
$ACEType = [System.Security.AccessControl.AccessControlType]"Allow"

$ACE = New-Object System.DirectoryServices.ActiveDirectoryAccessRule -ArgumentList $SID,$ADRight,$ACEType,$objectGuid

$rootObjACL.AddAccessRule($ACE)

Set-Acl $rootObjPath -AclObject $rootObjACL

En lugar de especificar el "Ninguno" InheritanceFlags opción y un vacío de la Herencia guid, acaba de salir de los 2 últimos argumentos al crear la ActiveDirectoryAccessRule

Lo mismo se aplica a la Configuration y Schema particiones, basta con sustituir la DistinguishedName de $rootObjACL

Para encontrar el Esquema y Configuración de la partición de DN, usted puede navegar por los AD:\ PSDrive (Get-ChildItem AD:) o usted puede inspeccionar los valores anunciados por el RootDSE:

$RootDSE  = [ADSI]"LDAP://RootDSE"
$SchemaDN = [string]$RootDSE.schemaNamingContext
$ConfigDN = [string]$RootDSE.configurationNamingContext

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: