Berechtigungen abrufen:

$a = Get-Acl AD:\'CN=Tester1,OU=Ou1,OU=OU2,OU=OU3,DC=Contoso,DC=com').Access
$a.Access[0].ActiveDirectoryRights.value__

Berechtigung schreiben

$path = "AD:\CN=Tester1,OU=Ou1,OU=OU2,OU=OU3,DC=Contoso,DC=com"
$acl = Get-Acl -Path $path
$ace = New-Object Security.AccessControl.ActiveDirectoryAccessRule('DOMAIN\Computername','FullControl')
$acl.AddAccessRule($ace)
Set-Acl -Path $path -AclObject $acl

Weitere Informationen zu der ActiveDirectoryAccessRule: Link

Quellen: Link

Edit: Selbst ermittelt geht folgendes:

$account = New-Object System.Security.Principal.NTAccount("evv", "rkaufmann")
$act = new-object System.Security.AccessControl.AccessControlType
$act.value__ = 0
$adr = new-object System.DirectoryServices.ActiveDirectoryRights
$adr.value__ = 48
$inherit = new-object System.DirectoryServices.ActiveDirectorySecurityInheritance
$inherit.value__ = 0
$ot = new-object System.Guid("bf9679c0-0de6-11d0-a285-00aa003049e2")
 
 
New-Object System.DirectoryServices.ActiveDirectoryAccessRule($account,$adr,$act,$ot,$inherit)

führt zu folgender ACE:

ActiveDirectoryRights : ReadProperty, WriteProperty
InheritanceType       : All
ObjectType            : bf9679c0-0de6-11d0-a285-00aa003049e2
InheritedObjectType   : 00000000-0000-0000-0000-000000000000
ObjectFlags           : ObjectAceTypePresent
AccessControlType     : Allow
IdentityReference     : EVV\rkaufmann
IsInherited           : False
InheritanceFlags      : None
PropagationFlags      : None

Das ist genau die ACE, die eine BErechtigung zum Lesen und Schrreiben von Mitgliedern einer Gruppe benötigt wird. Ausschlaggebend ist die Eigenschaft ObjectType, die auf ein Object im AD-Schema verweist. Infos dazu gibt es hier:

• https://msdn.microsoft.com/de-de/library/windows/desktop/ms675767%28v=vs.85%29.aspx
• https://msdn.microsoft.com/de-de/library/system.directoryservices.activedirectoryaccessrule%28v=vs.110%29.aspx?cs-save-lang=1&cs-lang=csharp#code-snippet-1