動態組成員資格以解決 Active Directory 沒有嵌套安全組支持的問題

我的問題是我有許多網路管理應用程序，例如不支持 Active Directory 域服務 (AD DS) 中的嵌套組的 SAN 交換機。這些遺留管理應用程序使用 LDAP 或 LDAPS。

我相當確定我可以使用 Active Directory 輕量級目錄服務 (AD LDS) 和可能的 Windows 授權管理器來解決這個問題；但是我不確定從哪裡開始。

我想結束：

• 可以通過 LDAP/LDAPS 查詢其所有直接成員的單個組
• 用於 AD DS 的使用者名和密碼憑據的 LDAP 代理
• 管理組的簡單方法，理想情況下，組將聚合 AD DS 中的嵌套成員資格。
• 使用 Windows 堆棧中免費提供的組件的本機解決方案。

如果您有任何以前用於解決此問題的建議或解決方​​案，請告訴我。

我在以前的工作中遇到過類似的問題。我們最終做了 Jscott 所做的事情，即為那些特殊的應用程序創建特定的組。根據嵌套組中的內容，這些組每天以批處理模式創建一次（這與我們需要的頻率一樣頻繁）。不幸的是，我不再有它的來源，但我們利用了dsquerypowershell 的組合來建構這些特殊的組。

$masterList=dsquery group $DNOfNestedGroup

問題是這個列表將返回使用者和成員組。power-shell 邏輯必須消除歧義並遞歸到子組中，只將唯一的新成員添加到主使用者列表中。一旦您建立了主使用者列表，您就可以使用它dsadd來創建（或更新）具有靜態成員資格的組。

引用自：https://serverfault.com/questions/433852