Может ли администратор, не являющийся доменом, проверять репликацию AD только с помощью Powershell?

Question

Может ли администратор, не являющийся доменом, проверять репликацию AD только с помощью Powershell?

Предположим, что никакие инструменты администрирования не установлены, а права пользователей ограничены запуском Powershell и стандартным доступом пользователей к Active Directory.

Может ли пользователь в этой ограниченной ситуации проверить репликацию AD? (repadmin недоступен)
Теоретически, что потребуется сценарию Powershell для проверки репликации AD, релевантной для обработки объектов групповой политики и репликации учетных записей?

1

active-directory powershell group-policy replication

Источник

random65537 26 фев '19 в 15:05

1 ответ

Решение

Другие вопросы по тегам active-directory powershell group-policy replication

bjoster 26 фев '19 в 15:56 2019-02-26 15:56 · Accepted Answer · 2019-02-26 15:56

На самом деле это невозможно, в зависимости от того, чего вы пытаетесь достичь. У пользователя (по умолчанию) отсутствуют права доступа на чтение почти ко всем важным объектам и API, даже когда была установлена цепочка инструментов.

Пользователь может проверить репликацию своего собственного объекта (изменить пароль, проверить учетные данные для контроллеров домена), но получить доступ к протоколам репликации, wmi dsquery (который будет отсутствовать без RSAT), полному пространству имен \root\microsoftdfs и всем необходимым конечным точкам rpc. ACL-ACE против такого доступа.