То, как установить или очистить “менеджера, может обновить список членов” использование PowerShell
Хотя это не буквально псевдодиск, архитектура Mailinator находится в том же духе. В основном, так как содержание, которое обрабатывает Mailinator, не 'ценно', они могут предоставить риск его потери существенно улучшить производительность.
Ваш вопрос заинтриговал меня, и я использовал Google для нахождения ответа... У меня нет опыта с Quest cmdlets для PoSh.
В описании для Нового-QADGroup говорится, что использование параметра ManagerCanUpdateMembershipList требует соединения с Сервером ActiveRoles
В среде AD 2003 это - процесс с 2 шагами:
Добавьте-QADPermission - идентификационные данные - учетная запись - права WriteProperty - свойство "участник"-ApplyTo 'ThisObjectOnly'
Набор-QADGroup-ManagedBy
Первая команда установит необходимые полномочия и функциональна, но если не будет учетной записи пользователя, уже указанной в Управляемом зарегистрированным в ADUC, то то поле останется пустым, и флажок не будет установлен. Вторая команда заполнила это поле, и когда оба условия будут соблюдать, флажок будет установлен.
Следует иметь в виду, что ManagerCanUpdateMembershipList, зарегистрированный в свойствах Group, все еще считает ЛОЖЬ в AD среде без Активного Ролевого Сервера. Это поле является, по-видимому, собственным полем для Активного Ролевого Сервера.
У меня есть сообщение в блоге, в котором объясняется, как это сделать с помощью модуля ActiveDirectory и ADSI, вы можете найти его здесь , если вам просто нужен код:
<#
.Synopsis
Sets manager property on AD group and grants change membership rights.
.DESCRIPTION
Sets manager property on AD group and grants change membership rights.
This is done by manipulating properties directly on the DirectoryEntry object
obtained with ADSI. This sets the managedBy property and adds an ACE to the DACL
allowing said manager to modify group membership.
.EXAMPLE
Set-GroupManager -ManagerDN "CN=some manager,OU=All Users,DC=Initech,DC=com" -GroupDN "CN=TPS Reports Dir,OU=All Groups,DC=Initech,DC=com"
.EXAMPLE
(Get-AdGroup -Filter {Name -like "sharehost - *"}).DistinguishedName | % {Set-GroupManager "CN=some manager,OU=All Users,DC=Initech,DC=com" $_}
#>
function Set-GroupManager {
param (
[Parameter(Mandatory=$true, ValueFromPipeline=$false, ValueFromPipelinebyPropertyName=$True, Position=0)]
[string]$ManagerDN,
[Parameter(Mandatory=$true, ValueFromPipeline=$false, ValueFromPipelinebyPropertyName=$True, Position=1)]
[string]$GroupDN
)
try {
Import-Module ActiveDirectory -NoClobber
$mgr = [ADSI]"LDAP://$ManagerDN";
$identityRef = (Get-ADUser -Filter {DistinguishedName -like $ManagerDN}).SID.Value
$sid = New-Object System.Security.Principal.SecurityIdentifier ($identityRef);
$adRule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ($sid, `
[System.DirectoryServices.ActiveDirectoryRights]::WriteProperty, `
[System.Security.AccessControl.AccessControlType]::Allow, `
[Guid]"bf9679c0-0de6-11d0-a285-00aa003049e2");
$grp = [ADSI]"LDAP://$GroupDN";
$grp.InvokeSet("managedBy", @("$ManagerDN"));
$grp.CommitChanges();
# Taken from here: http://blogs.msdn.com/b/dsadsi/archive/2013/07/09/setting-active-directory-object-permissions-using-powershell-and-system-directoryservices.aspx
[System.DirectoryServices.DirectoryEntryConfiguration]$SecOptions = $grp.get_Options();
$SecOptions.SecurityMasks = [System.DirectoryServices.SecurityMasks]'Dacl'
$grp.get_ObjectSecurity().AddAccessRule($adRule);
$grp.CommitChanges();
}
catch {
throw
}
}
его можно найти здесь