如果你在谈论一个服务试图读取......什么对象?我想我错过了 AD 与相关对象的关系。我发现用于读取对象访问的最佳工具是 filemon 和 regmon 以及 procmon,它们都来自 sysinternals。这通常可以很好地概述哪些工作有效,哪些不能访问权限。
我们确实有系统不定期读取 AD 策略的实例,唯一可行的方法是: A) 重新启动。下次可能会读。B) 强制刷新策略。不过,它何时/如何花费似乎是随机的,而 Windows 在对正在发生的事情提供反馈方面简直是太棒了。哈哈!C) 解决它。例如,将打印机分配给某些计算机有时是行不通的,有时会,所以最终我们只是开始在我们部署的每个工作站上安装免费软件 AdPrintx,并在启动文件夹中添加一个添加默认打印机的批处理文件,同时绕过随机挫败感的广告。
如果你在谈论一个服务试图读取......什么对象?我想我错过了 AD 与相关对象的关系。我发现用于读取对象访问的最佳工具是 filemon 和 regmon 以及 procmon,它们都来自 sysinternals。这通常可以很好地概述哪些工作有效,哪些不能访问权限。
我们确实有系统不定期读取 AD 策略的实例,唯一可行的方法是: A) 重新启动。下次可能会读。B) 强制刷新策略。不过,它何时/如何花费似乎是随机的,而 Windows 在对正在发生的事情提供反馈方面简直是太棒了。哈哈!C) 解决它。例如,将打印机分配给某些计算机有时是行不通的,有时会,所以最终我们只是开始在我们部署的每个工作站上安装免费软件 AdPrintx,并在启动文件夹中添加一个添加默认打印机的批处理文件,同时绕过随机挫败感的广告。
我猜你想使用事件日志,它应该在尝试编辑 AD 对象时报告权限问题。
你试过Dumpsec 吗?我已经看到审核员使用它来很好地了解 AD 中的权限和安全设置。
可能更好的方法是注册一个帐户并检查它对 OU 拥有什么样的权限。
您可以使用带有 /report 选项的 dsrevoke.exe 来获取个人的详细信息。
或者您可以使用此处解释的“有效权限”
你试过LIZA了吗?它是一个免费的 Active Directory 权限分析工具:
http://www.ldapexplorer.com/en/liza.htm