Я хотел бы программно разрешить данному участнику безопасности (пользователю или группе) в AD иметь разрешение на запись в атрибут member
в группе AD.
Я предполагаю, что это будет форма:
$GroupObject = Get-ADGroup $group
$ACL = Get-ACL AD:$GroupObject
$ACE = New-Object System.Security.AccessControl.ActiveDirectoryAccessRule (
$manager,
...
)
$ACL.AddAccessRule($ACE)
Set-ACL -Path AD:$GroupObject -AclObject $ACL
Чего я не могу найти, так это документации о том, что еще нужно сделать в ...
, чтобы это заработало. Даже нырять, делая это вручную и проверяя результирующие объекты ACL, оказывается трудным!