У нас есть несколько небрежно созданных групп на нашем сервере AD. У нас была пара доменов, которые были объединены и образовали похожие группы ..
«Финансовая помощь» «Финансовая помощь» «ФА»
и т.д ... Я хочу объединить эти группы, не нарушая доступа всех к сети.
Для некоторых папок были организованы разрешения для той или иной группы, и я хотел бы выполнить глобальную очистку папок на определенных общих ресурсах «на поиск и замену».
Пример:
folder1 has full access to "Financial Aid"
folder2 has read for "FA"
Я бы хотел создать новую группу:
folder1 has full access for "Financial_Aid"
folder2 has read for "Financial_Aid"
... или просто "слить" одну группу в другую:
folder1 has full access for "Financial Aid"
folder2 has read for "Financial Aid"
Есть указатели? Не боюсь копаться в PowerShell или Python, просто интересно, есть ли у кого-нибудь соответствующие ссылки, чтобы увидеть, как это сделано, и ловушки, на которые следует обратить внимание ...
К сожалению, вам, вероятно, придется многое делать вручную. Разрешения файловой системы и разрешения сетевого ресурса хранят только SID группы и назначенные разрешения локально. Контроллеры домена только сообщают серверам, кто в какой группе ... и проверяют, является ли пользователь тем, кем они себя называют.
Это означает ... что вам придется вносить изменения в права доступа к КАЖДОМУ серверу напрямую ... Возможно, вы сможете создать скрипт для многих из них, используя инструмент командной строки cacls для доступа к файловой системе ... и команды "net share" для настройки разрешений общего доступа ... но в конечном итоге это на 100% меньше идеального ... и может в конечном итоге дать слишком много разрешений не тем людям.
Сейчас не самое подходящее время, чтобы начать все сначала и настроить новую чистую группу ... и поместить в эти группы соответствующих пользователей ... и установить широкие разрешения для соответствующих общих ресурсов и файлов? Таким образом, вы можете полностью исключить ситуации типа «Бетти-Сью должна иметь доступ к личным документам декана».
Как насчет этого. Создайте третью группу и поместите в нее всех сотрудников. Добавьте эту группу к двум старым и удалите все учетные записи пользователей из группы. Теперь у вас есть одна группа, в которую можно добавить и удалить пользователей. Затем со временем удалите старые группы из разрешений и замените их новой группой.
FWIW, мы создаем несколько групп для каждого ресурса (share_read, share_write, share_admin). Потратьте много времени на то, чтобы заранее выяснить, что делать, прежде чем начать.
Что касается того, как создать эту третью группу, Powershell v2 и командлеты AD - это действительно технология, которую нужно использовать. Если у вас есть контроллеры домена Win2k3, добавьте в свою сеть веб-службу AD. Если у вас есть контроллеры домена Win2k8, вы можете использовать их напрямую.