У меня есть подразделение в AD, в котором delegated permissions
назначенный на это. Есть ли способ / инструмент для экспорта делегированных разрешений (или только всех разрешений безопасности) для OU, а затем применить те же самые разрешения к другому OU в структуре AD?
Экспорт вроде проще, - DSACLS.exe
может это сделать.
Но как мне импортировать / применить / восстановить экспортированные разрешения для другого OU в AD?
Решение вроде бы найдено, и оно действительно сработало на тестовом Windows Server 2012 R2 DC.
Основная идея состоит в том, чтобы использовать инструмент LDIFDE для экспорта дескриптора безопасности исходного OU, изменить его, а затем повторно применить к другому.
Например.
экспорт OU ntSecurityDescriptor:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
Вы получите что-то вроде этого:
Измените его, изменив целевое OU и метод changetype и добавив тире в конце файла:
Как только это будет сделано, импортировать измененный дескриптор ntSecurityDescriptor:
ldifde -i -f ACLs_destination_OU.txt
P.S. это основано на информации Вот.