En muchas ocasiones, sobre todo cuando necesitamos por ejemplo hacer un inventario en todos los servidores de un dominio, ejecutar una extensión de esquema de Active Directory en la instalación de Exchange Server, Skype for Business o cualquier software que requiera interacción con el esquema de Active Directory, requerimos contar con ciertos privilegios como por ejemplo Domain Admin o Schema Admin, los cuales nos permitirán llevar a cabo estas actividades.
Muchas veces, nos brindan un usuario para realizar estas actividades pero no sabemos si efectivamente cuentan con estos privilegios.
Es por eso, que les voy a mostrar una forma de verificar que nuestro usuario se encuentre en estos grupos a través de PowerShell.
Lo que debemos hacer es ejecutar el siguiente código en una consola de PowerShell:
([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole("Domain Admins")
Image may be NSFW.
Clik here to view.
En este caso devolverá “True” si pertenece al grupo Domain Admins o “False” en caso contrario.
Lo mismo se debe ejecutar para verificar si es “Schema Admins”
([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole("Schema Admins")
Image may be NSFW.
Clik here to view.
Esto también puede ejecutarse para Enterprise Admin o para cualquier grupo:
([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole("Enterprise Admins")
([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole("Admin")
Image may be NSFW.
Clik here to view.
Este código, puede sirve para ser utilizado en instalaciones o tareas automatizadas, ya que nos desentendemos si existe un error de privilegios y podremos manejarlo como una excepción.
Espero que les sea útil!
Image may be NSFW.Clik here to view.
