Controllare e Rimuovere i Permessi in Active Directory con DsRevoke

Dsrevoke è uno strumento eseguibile da linea di comando che può essere usato sui domain controller con Windows Server 2003 e Windows 2000 Server per generare un rapporto sui permessi di un determinato utente e per rimuoverli.

Questo tool quindi è particolarmente utile per rimuovere le deleghe attivate utilizzando Delega Controllo nello snapin Utenti e Computer di Active Directory.

La sintassi del comando è la seguente
dsrevoke /report|/remove [/domain:<domainname>] [/username:<username>] [/password:<password>|*] [/root:<domain/OU>] <securityprincipal>
/report – Crea un rapporto dei permessi dell’utente sull’oggetto specificato
/remove – Crea un rapporto dei permessi e li elimina
/domain: – Specifica il nome del dominio
/username: – Specifica il nome utente
/password: – Richiede la password per l’utente
/root: – Specifica l’unità organizzativa da cui iniziare la ricerca dei permessi.
<securityprincipal>: – Specifica l’utente di cui analizzare i permessi.

Per rimuovere i permessi delegati potremmo quindi eseguire il comando
dsrevoke /remove “/root:ou=outest,dc=prova,dc=local” PROVA\user1
In questo caso vengono eliminati i permessi impostati per l’utente user1 sull’unità organizzativa outest.

Lo strumento dsrevoke può essere utilizzato solo con unità organizzative o con il dominio quindi non possiamo eliminare i permessi delegati su un oggetto specifico.