1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. Ajouter un groupe AD en Full control sur un CN

Question Ajouter un groupe AD en Full control sur un CN

Plus d'informations
il y a 15 ans 1 mois #9226 par mpicollet
Ajouter un groupe AD en Full control sur un CN a été créé par mpicollet
Bonjour à tous,

Ok bon là je bloque… Si quelqu’un à une idée…
Dans le but d'automatiser une installation (SCCM)...

Je veux créer un groupe GG-SMS-Servers puis l’ajouter dans la sécurité du container System Management et lui donner le droit Full Control sur celui-ci.
•Alors la création du groupe GG-SMS-Servers OK
•L’ajout du groupe dans les sécurité du conteneur System Management OK

Mais impossible de lui donner la portée et les bons droits. (Full Control / Apply to : This object and all descendant objetcs)

Je n’arrive pas à « dépasser » les quelques droits que j’arrive à spécifier dans le script (cf. plus bas) … Grrr !

En fait, je veux reproduire le screenchot en pièce jointe : Mettre Full control, puis spécifier « This object and all descendant objetcs » concernant le groupe GG-SMS-Servers sur le CN= System Management

Voici la methode que j'utilise :
CD AD:
$adspath = ([ADSI]'').distinguishedName
$query = New-ADObject -name \"System Management\" -type container -path \"CN=System,$adspath\" -passthru
$acl = get-acl $query
$group = new-adgroup GG-SMS-Servers -groupscope global -passthru
$sid = new-object System.Security.Principal.SecurityIdentifier $group.SID
$objectguid = new-object Guid bf967a86-0de6-11d0-a285-00aa003049e2
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid,\"CreateChild\",\"Allow\",$objectguid

...

$acl.AddAccessRule($ace1)
set-acl -aclobject $acl $query

CreateChild est qu'un exemple de droits que je peux positionner, mais FullControl n'existe pas. je n'ai que WriteDacl, GenericAll, etc.

Je pensais qu'en faisant une ligne par permission, j'arriverais virtuellement à tout \"cocher\"... Bah non ! de plus à ne régle pas le côté héritage (Apply to :)

Merci de votre aide,

Fichier attaché :


Mitch<br><br>Message édité par: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., à: 21/03/11 15:01
Pièces jointes :

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
il y a 15 ans 1 mois #9228 par mpicollet
Réponse de mpicollet sur le sujet Re:Ajouter un groupe AD en Full control sur un CN
Re-bonjour à tous,

Rappel
Créer un groupe GG-SMS-Servers puis l’ajouter dans la sécurité du container System Management et lui donner le droit Full Control sur celui-ci grace à Posh !!

Voici le script !
1. CD AD:
2. $adspath = ([ADSI]'').distinguishedName
3. $query = New-ADObject -name \&quot;System Management\&quot; -type container -path \&quot;CN=System,$adspath\&quot; -passthru
4. $acl = get-acl $query
5. $group = new-adgroup GG-SMS-Servers -groupscope global -passthru
6. $sid = new-object System.Security.Principal.SecurityIdentifier $group.SID
7. $objectguid = new-object Guid
8. $ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid, 0xF01FF, \&quot;Allow\&quot;, $objectguid, \&quot;All\&quot;
9. $acl.AddAccessRule($ace1)
10. set-acl -aclobject $acl $query
11. Get-ADComputer $ComputerNameSCCM | Add-ADPrincipalGroupMembership -MemberOf GG-SMS-Servers

Création du groupe et du container System Management (Ligne 3 et 5)
$query = New-ADObject -name \&quot;System Management\&quot; -type container -path \&quot;CN=System,$adspath\&quot; –passthru
$group = new-adgroup GG-SMS-Servers -groupscope global -passthru

Création de la sécurité sur System Management(Ligne 7 et 8)
Pour la sécurité, IL NE FAUT PAS spécifier de GUID à la ligne 7 (comme par ex. « bf967a86-0de6-11d0-a285-00aa003049e2 » que je m’évertuais à utiliser…)
Le fait de mettre seulement « $objectguid = new-object Guid » positionne une sorte « WhiteCard » ou de « joker » -&gt; 00000000-0000-0000-0000-000000000000

Ensuite, il faut positionner 0xF01FF à la ligne 8, afin de spécifier le droit « Full Control » pour les ACE (Merci à Richard pour cette trouvaille !) et « All » à la fin pour spécifier l’héritage et positionner le Apply to : « This Object and all descendant Objects »

Ce qui donne...
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid, 0xF01FF, \&quot;Allow\&quot;, $objectguid, \&quot;All\&quot;

Ligne 9 - Considération de la règle $ace1
$acl.AddAccessRule($ace1)

Ligne 10 - Application de la règle
set-acl -aclobject $acl $query

Ligne 11 - Application de la règle
Y a plus qu'à insérer notre serveur SCCM au groupe GG-SMS-Servers: Get-ADComputer $ComputerNameSCCM | Add-ADPrincipalGroupMembership -MemberOf GG-SMS-Servers

Merci à Richard LAZARO pour son aide !

Merci à tous,

Mitch<br><br>Message édité par: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser., à: 21/03/11 18:14
Pièces jointes :

Connexion ou Créer un compte pour participer à la conversation.

  1. forum
  3. PowerShell
  5. Entraide pour les débutants
  7. Ajouter un groupe AD en Full control sur un CN
Temps de génération de la page : 0.036 secondes
Propulsé par Kunena