Ondrej Sevecek's Blog

Běžně se mi vyskytuje problém, jak nastavit nějaké zabezpečení v Active Directory pro více objektů současně. V klasickém případě se jedná o DENY položky, které jsou příliš nefungují, pokud se je snažíte dědit. DENY položky je obvykle potřeba nastavit explicitně na každém objektu, kde chcete, aby měly stoprocentní účinnost. To je způsobeno tím, že všechny objekty dostávají automaticky při vytvoření tzv. Default Security Descriptor (definovaný ve Schema) a ten obsahuje mnoho explicitních ALLOW položek, které jsou "silnější" než dědění.

Takže pokud jste schopni vytvořit LDAP vyhledávací filtr (LDAP Search Filter), tak si můžete nejprve objekty nějak vyhledat pomocí DSQUERY a teprve potom jim nastavit nějaké zabezpečení pomocí DSACLS. Následuje baťáček, který si můžete jen trošinku upravit a mělo by to fungovat:

@ECHO OFF
SET domainDN=DC=idtt,DC=local
FOR /F "tokens=1" %%i IN ('DSQUERY * "%domainDN%" –filter "(mail=*)"') DO (

  DSACLS %%i /G HRDepartment:RPWP;telephoneNumber

)

V předchozím příkladu je vidět, že se v doméně idtt.local vyhledají všechny účty, které mají alespoň nějakou emailovou adresu (mail=*) a do zabezpečení těchto vyhledaných objektů se přidá skupina HRDepartment, která je schopná těm objektům číst a měnit telefonní číslo (telephoneNumber)