我在企业Active Directory域中继承了对OU的控制权。我们的OU中的所有计算机对象都是我的前任所有(并且只能由我们编写)。这可以防止我重新添加这些计算机,除非我删除对象(在这种情况下,新对象将由我添加它们的任何帐户拥有)或添加所有OU管理员的写入权限。我想要晚一点。
所以,我正在寻找一种方法来制作一个可以指向OU的VBA / Powershell /其他脚本,对于该OU中的每个计算机对象,它都可以:
- 将对象的所有权更改为我们使用的服务/部门帐户
- 添加对象的写入权限以包括我们的OU管理员组
实际上,VBA / Powershell的偏好仅仅是因为我认为这个脚本可能需要在其中一个DC上运行,而我无法控制它们上面安装的内容。如果可以通过网络使用标准LDAP工具执行此操作,那么我猜任何语言都可以。
据我所知,您无法获得您无权获得的权限 - 您被委派为“OU Admin”的角色,这可能是AD中的自定义角色 - 这里唯一的选择是域/企业的干预admin谁应该递归修复权限。
—
Koliat 2015年