私の上司によって定義された特別な任務に就いています。 彼の質問は「私たちの広告のどのユーザーが他のユーザーのパスワードをリセットできるのですか?他のADユーザーのパスワードをリセットできるADユーザーを検索
私はAD管理者ではありません。私は通常のADユーザーアカウントを持っており、特別な特権はありません。しかし、私はGet-ADUserと他のすべての派手なPowerShellスクリプトを使って 'samAccountType'や 'userAccountControl'のような他のユーザーの属性を取得できます。
私の質問は、私が彼の質問に答えるために使用できる情報を検索する方法はありますか?
ありがとうございました!
特に、AccessChkとAccessEnumのSysinternalsツール(現在はMicrosoftの一部)を参照できます。それ以外の場合は、ADからすべてのマシンを取得し、すべてのファイルシステムオブジェクトのすべての権限を表示する権限を持つ管理者アカウントを使用して、それらを繰り返し処理するスクリプトを作成する必要があります。もう1つの選択肢は、solutionの助けを借りて、どのオブジェクトにADのどの権限があるかを知らせることです。
これは先にあります。threadは、Active Directoryオブジェクトに対するすべての有効な権限/アクセス許可のリストを取得するのに役立ちます。ユーザAがユーザBのパスワードをリセットすることができますhttps://security.stackexchange.com/questions/4545/how-do-you-discover-what-permissions-an-ad-group-has-if-you-have-no-documentati
かどうかはしたがって、ユーザーBのセキュリティ権限(ACL)によって決定されます。
はどのようにあなたは何のドキュメントを持っていない場合、ADグループは、しているアクセス許可ものを発見しますすべてのユーザーアカウントを列挙し、各ユーザーに対して1つ以上のユーザーのパスワードをリセットできるユーザーとグループの一覧を収集して、各ユーザーのアクセス許可を読み取る必要があります。ネストされたグループを含むグループメンバーシップを列挙する必要がありますが、ADのサイズにもよりますが、その部分は手作業で簡単に行うことができます。 (ADが設定されている方法によっては、管理者権限がないとすべての関連データを取得できない場合があります)。 –