Назад | Перейти на главную страницу

Использование Vbscript / PowerShell Как проверить, есть ли у учетной записи пользователя AD разрешения на изменение членства в группе AD?

У меня есть собственное решение для развертывания операционной системы (обновление OSD), которое в рамках процесса должно сначала изменить членство в нескольких связанных группах AD, используя учетную запись пользователя, запускающего OSD.

Мне нужно программно проверить (предпочтительно с помощью Vbscript или даже PowerShell), есть ли у этого пользователя необходимые разрешения для изменения группы в первую очередь. Если нет, я хотел бы вывести сообщение и завершить процесс OSD.

Не могли бы вы помочь?

Стив

Я пока не могу комментировать, но я согласен с Райаном Болдгером. Я нашел человека, который написал модуль для этого, но он довольно старый. Вот ссылка, если хотите посмотреть: https://stackoverflow.com/questions/27069043/how-to-get-effective-permissions-with-powershell-for-an-attribute-on-the-ad-user

Было бы намного проще использовать что-то вроде:

try {
  Add-ADGroupMember -Identity <Group Name> -Member <Dummy User> -ErrorAction Stop
  Remove-ADGroupMember -Identity <Group Name> -Member <Dummy User> -ErrorAction Stop
  Write-Host "User has permissions to group <Group Name>"
}
catch {
  throw "User does not have the required access to group <Group Name>"
}