Active-Directory
如何合併兩個 AD 組?
我們的 AD 後端有一些草率地創建的組。我們有幾個域被合併,並與類似的組結束……
“財政援助” “財政援助” “FA”
等等…我想鞏固這些組,而不破壞每個人的網路訪問。
一些文件夾被授予一個組或另一個組的權限,我想對某些共享的文件夾進行全域“查找和替換權限”掃描。
例子:
folder1 has full access to "Financial Aid" folder2 has read for "FA"
我想創建一個新組:
folder1 has full access for "Financial_Aid" folder2 has read for "Financial_Aid"
…或者只是將一個組“合併”到另一個組中:
folder1 has full access for "Financial Aid" folder2 has read for "Financial Aid"
任何指針?不怕在 powershell 或 python 中探勘,只是好奇是否有人有相關連結可以看到這個完成,以及需要注意的問題……
不幸的是,您可能不得不手動執行很多操作。文件系統權限和網路共享權限僅在本地儲存組的 SID 和分配的權限。域控制器只告訴伺服器誰在哪個組中……並驗證使用者是他們所說的那個人。
這意味著…是您必須直接對每個伺服器進行權限更改…您可以使用命令行工具“cacls”為文件系統權限編寫很多腳本…以及用於調整共享權限的“net share”命令……但最終,這比理想情況要低 100%……並且最終可能會給錯誤的人提供太多權限。
現在不是重新開始並設置一個新的干淨組的好時機……並將適當的使用者放在這些組中……並對適當的共享和文件設置全面的權限?這樣,您就可以完全消除“貝蒂甦應該能夠訪問院長的個人文件”類型的情況。