Active-Directory

非域管理員是否可以僅使用 Powershell 驗證 AD 複製?

  • February 26, 2019

假設未安裝任何管理工具,並且使用者權限僅限於執行 Powershell 以及對 Active Directory 的標準使用者訪問權限。

  • 在這種有限情況下,使用者是否可以驗證 AD 複製?(repadmin 不可用)
  • 理論上,Powershell 腳本需要什麼來檢查與 GPO 處理和帳戶複製相關的 AD 複製?

這實際上是不可能的,具體取決於您要達到的目標。即使安裝了工具鏈,(預設)使用者也缺少對幾乎所有重要對象和 API 的讀取訪問權限。

使用者可以驗證他自己的對象的複制(更改密碼,驗證 DC 的憑據),但可以訪問複製協議、wmi dsquery(如果沒有 RSAT,它將失去)、完整的 \root\microsoftdfs 命名空間和所有必要的 rpc 端點ace ACL 反對此類訪問。

引用自:https://serverfault.com/questions/955820