У меня есть собственное решение для развертывания операционной системы (обновление OSD), которое в рамках процесса должно сначала изменить членство в нескольких связанных группах AD, используя учетную запись пользователя, запускающего OSD.
Мне нужно программно проверить (предпочтительно с помощью Vbscript или даже PowerShell), есть ли у этого пользователя необходимые разрешения для изменения группы в первую очередь. Если нет, я хотел бы вывести сообщение и завершить процесс OSD.
Не могли бы вы помочь?
Стив
Я пока не могу комментировать, но я согласен с Райаном Болдгером. Я нашел человека, который написал модуль для этого, но он довольно старый. Вот ссылка, если хотите посмотреть: https://stackoverflow.com/questions/27069043/how-to-get-effective-permissions-with-powershell-for-an-attribute-on-the-ad-user
Было бы намного проще использовать что-то вроде:
try {
Add-ADGroupMember -Identity <Group Name> -Member <Dummy User> -ErrorAction Stop
Remove-ADGroupMember -Identity <Group Name> -Member <Dummy User> -ErrorAction Stop
Write-Host "User has permissions to group <Group Name>"
}
catch {
throw "User does not have the required access to group <Group Name>"
}