Можно ли в AD Windows Server 2008 R2 получить список подразделений, управляемых пользователем, из объекта «Пользователь», или нужно ли анализировать список подразделений?
(т. е. есть ли представление в объекте User управления OU или это только var в OU)
Вы не можете увидеть организационные единицы, к которым конкретный пользователь имеет доступ, из фактического объекта User в AD. Однако вы можете использовать мощный инструмент в PowerShell под названием DSACLS. Вы должны запустить PowerShell от имени администратора, а затем использовать эту команду:
dsacls "ou = nameofou, dc = domainname, dc = com"
заменив nameofou и domainname желаемым OU и вашим доменом AD.
См. Раздел DSACLS здесь для получения дополнительной помощи: http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspx
Нет, учетная запись / объект пользователя не содержит атрибутов ~ «вещи, которыми этот объект может управлять».
Разрешения обрабатываются ACL / ACE (Списки контроля доступа / Записи контроля доступа) на самих объектах, которые определяют, какие другие объекты имеют разрешения делать что-либо с объектом, содержащим ACL.
Чтобы выяснить, какими организационными единицами данный пользователь может управлять, подход представляет собой сценарий, который просматривает все ваши организационные единицы и возвращает те, в которых целевой пользователь имеет разрешения, которые вам интересны (и, если быть точным, группы, которые ваш пользователь является членом).
Похоже, есть сценарий PowerShell от Эшли МакГлоун, который делает большую часть того, что вам нужно, и дает вам блестящий файл csv или Excel.. Вы, конечно, могли бы сделать то же самое в консоли PowerShell, отфильтровав результаты по интересующему вас пользователю и изменив возвращаемое форматирование и атрибуты, но (без обид) это кажется вам немного продвинутым, и я меня немного хлопнуло в данный момент, так что я не собираюсь за вас драться, но это будет относительно простой однострочный Get-Acl командлет в его ядре.