AD i videti koja je delegirana kontrola nad OU-ovima i drugim stvarčicama ;-)
E da. Jednom kada ovako nešto uradite, cvrc ćete to moći lepo i da vidite!
Iz misterioznih razloga Microsoft nigde jasno i lepo ne prikazuje šta je kome delegirano i koje su dozvole (permissions) na kojim objektima u AD-u.
*****
Dakle kako videti delegated control :
Prva opcija
Server Manager/Tools/Active Directory Users and Computers
Otići na tab “View” i uključiti opciju “Advanced Features” :
Otići na problematični OU/desni klik/Properties/tab Security/Advanced/tab Permissions
Odavde se vidi nešto, ali zbilja ne baš jasno!
Druga opcija – A +/-/-
3rd party SW, u ovom slučaju LEX koji je LDAP browser.
Na žalost ima delove koji su blokirani u free verziji.
Druga opcija – B +/+/
3rd party SW – Softerra LDAP browser (v 4.45/64) (link)
Obavezno pri logovanju na AD, kao “Principal” staviti CN username@AD domain!
Free je RO verzija, ali to je OK.
Treća opcija -/-/-
MS CLI alatka DSREVOKE
“Dsrevoke is a new command-line tool that can be used on domain controllers that are running Windows Server 2003 or Windows 2000 Server to report the existence of all permissions for a specific user or group on a set of OUs in a domain”.
You should be able to run dsrevoke on any machine that can access the DC.
Može i da ih ukloni, ali nas to ne zanima.
I pored VELIKOG truda nisam uspela da ovaj alat nateram da radi!!!!
