Я нахожусь в специальной миссии, определенной моим начальником. Его вопрос: «Сколько пользователей в нашем AD могут сбросить пароли других пользователей?»Найти пользователей AD, которые могут сбросить пароли других пользователей AD
Я не администратор AD, у меня только обычная учетная запись пользователя AD и никаких специальных привилегий. Однако я могу получить атрибуты других пользователей, такие как «samAccountType» или «userAccountControl» с помощью Get-ADUser и все эти другие фантастические сценарии powershell.
Мой вопрос: есть ли способ получить информацию, которую я могу использовать для ответа на его вопрос?
Благодарим за любые намеки!
ли пользователь А может сбросить пароль пользователя B определяется разрешениями безопасности (ACL) на пользователя B. Таким образом, вы вам нужно будет перечислить все учетные записи пользователей, и для каждого читайте разрешения, собирая список пользователей и групп с возможностью сброса хотя бы одного пароля пользователя. Затем вам нужно будет перечислить членство в группе, включая вложенные группы - хотя в зависимости от размера AD эта часть может быть легче сделана вручную. (В зависимости от того, как настроен AD, вы, возможно, не сможете получить все соответствующие данные без прав администратора.) –