Active-Directory

動態組成員資格以解決 Active Directory 沒有嵌套安全組支持的問題

  • December 10, 2013

我的問題是我有許多網路管理應用程序,例如不支持 Active Directory 域服務 (AD DS) 中的嵌套組的 SAN 交換機。這些遺留管理應用程序使用 LDAP 或 LDAPS。

我相當確定我可以使用 Active Directory 輕量級目錄服務 (AD LDS) 和可能的 Windows 授權管理器來解決這個問題;但是我不確定從哪裡開始。

我想結束:

  • 可以通過 LDAP/LDAPS 查詢其所有直接成員的單個組
  • 用於 AD DS 的使用者名和密碼憑據的 LDAP 代理
  • 管理組的簡單方法,理想情況下,組將聚合 AD DS 中的嵌套成員資格。
  • 使用 Windows 堆棧中免費提供的組件的本機解決方案。

如果您有任何以前用於解決此問題的建議或解決方​​案,請告訴我。

我在以前的工作中遇到過類似的問題。我們最終做了 Jscott 所做的事情,即為那些特殊的應用程序創建特定的組。根據嵌套組中的內容,這些組每天以批處理模式創建一次(這與我們需要的頻率一樣頻繁)。不幸的是,我不再有它的來源,但我們利用了dsquerypowershell 的組合來建構這些特殊的組。

$masterList=dsquery group $DNOfNestedGroup

問題是這個列表將返回使用者和成員組。power-shell 邏輯必須消除歧義並遞歸到子組中,只將唯一的新成員添加到主使用者列表中。一旦您建立了主使用者列表,您就可以使用它dsadd來創建(或更新)具有靜態成員資格的組。

引用自:https://serverfault.com/questions/433852