我正在嘗試在AD中的計算機對象上使用Set-Acl。首先我得到的ACL使用:AD計算機上的Set-ACL對象
$acl = (Get-Acl AD:\'CN=Tester1,OU=Ou1,OU=OU2,OU=OU3,DC=Contoso,DC=com').Access
這給我所有的計算機對象的ACL。然後我使用:
$acl.AddAccessRule((New-Object System.Security.AccessControl.FileSystemAccessRule("Computername","FullControl")))
任何正確的方向指針會有所幫助。我的目標是將計算機對象添加到計算機對象'Tester1'並授予完全訪問權限。
ActiveDirectory不是文件系統。您必須爲AD對象創建一個新的ACE,作爲ActiveDirectoryAccessRule。
$path = "AD:\CN=Tester1,OU=Ou1,OU=OU2,OU=OU3,DC=Contoso,DC=com"
$acl = Get-Acl -Path $path
$ace = New-Object Security.AccessControl.ActiveDirectoryAccessRule('DOMAIN\Computername','FullControl')
$acl.AddAccessRule($ace)
Set-Acl -Path $path -AclObject $acl
ACE的AD對象,您必須System.DirectoryServices.ActiveDirectoryAccessRule對象,而不是System.Security.AccessControl.FileSystemAccessRule創建。
很好的描述和例子在這裏:Add Object Specific ACEs using Active Directory Powershell