Назад | Перейти на главную страницу

Экспорт / импорт делегаций разрешений Active Directory

У меня есть подразделение в AD, в котором delegated permissions назначенный на это. Есть ли способ / инструмент для экспорта делегированных разрешений (или только всех разрешений безопасности) для OU, а затем применить те же самые разрешения к другому OU в структуре AD?

Экспорт вроде проще, - DSACLS.exe может это сделать.

Но как мне импортировать / применить / восстановить экспортированные разрешения для другого OU в AD?

Решение вроде бы найдено, и оно действительно сработало на тестовом Windows Server 2012 R2 DC.

Основная идея состоит в том, чтобы использовать инструмент LDIFDE для экспорта дескриптора безопасности исходного OU, изменить его, а затем повторно применить к другому.

Например.

экспорт OU ntSecurityDescriptor:

LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor

Вы получите что-то вроде этого:

Измените его, изменив целевое OU и метод changetype и добавив тире в конце файла:

Как только это будет сделано, импортировать измененный дескриптор ntSecurityDescriptor:

ldifde -i -f ACLs_destination_OU.txt

P.S. это основано на информации Вот.