我想以编程方式允许 AD 中的给定安全主体(用户或组)对memberAD 组上的属性具有写入权限。
我假设它的形式如下:
$GroupObject = Get-ADGroup $group
$ACL = Get-ACL AD:$GroupObject
$ACE = New-Object System.Security.AccessControl.ActiveDirectoryAccessRule (
$manager,
...
)
$ACL.AddAccessRule($ACE)
Set-ACL -Path AD:$GroupObject -AclObject $ACL
我找不到的是有关如何完成...这项工作还需要做什么的文档。即使是手动进行潜水并检查生成的 ACL 对象也被证明是困难的!