Active-Directory
動態組成員資格以解決 Active Directory 沒有嵌套安全組支持的問題
我的問題是我有許多網路管理應用程序,例如不支持 Active Directory 域服務 (AD DS) 中的嵌套組的 SAN 交換機。這些遺留管理應用程序使用 LDAP 或 LDAPS。
我相當確定我可以使用 Active Directory 輕量級目錄服務 (AD LDS) 和可能的 Windows 授權管理器來解決這個問題;但是我不確定從哪裡開始。
我想結束:
- 可以通過 LDAP/LDAPS 查詢其所有直接成員的單個組
- 用於 AD DS 的使用者名和密碼憑據的 LDAP 代理
- 管理組的簡單方法,理想情況下,組將聚合 AD DS 中的嵌套成員資格。
- 使用 Windows 堆棧中免費提供的組件的本機解決方案。
如果您有任何以前用於解決此問題的建議或解決方案,請告訴我。
我在以前的工作中遇到過類似的問題。我們最終做了 Jscott 所做的事情,即為那些特殊的應用程序創建特定的組。根據嵌套組中的內容,這些組每天以批處理模式創建一次(這與我們需要的頻率一樣頻繁)。不幸的是,我不再有它的來源,但我們利用了
dsquery
powershell 的組合來建構這些特殊的組。$masterList=dsquery group $DNOfNestedGroup
問題是這個列表將返回使用者和成員組。power-shell 邏輯必須消除歧義並遞歸到子組中,只將唯一的新成員添加到主使用者列表中。一旦您建立了主使用者列表,您就可以使用它
dsadd
來創建(或更新)具有靜態成員資格的組。