Я пытаюсь стандартизировать наши разрешения AD для наших 4 групп поддержки. Я уже применил разрешения для 2 стандартных групп (глобальная поддержка), и теперь мне предстоит болезненная очистка для поддержки на основе сайта, для которой есть конкретная группа, для которой нужно назначить разрешения. Очевидно, если я смогу найти ответ на этот вопрос, я смогу посмотреть на реализацию разрешений для глобальных групп, а также для новых подразделений. Под разрешениями я подразумеваю делегирование.
Чтобы ускорить процесс, у меня уже есть определенные подразделения, которые уже установлены правильно, поэтому я копирую разрешения и применяю их к другому подразделению. Это структура AD: -Сайт 1 - Настольные компьютеры - Ноутбуки - Пользователи - Сайт 2 - Настольные компьютеры - Пользователи
И так далее. Теперь предположим, что у меня правильно настроен Сайт 1 (обратите внимание, что я назначаю разрешения для каждого подчиненного подразделения, например для настольных компьютеров, ноутбуков и т. Д.). Для каждой группы я бы сделал следующее:
Get-QADPermission "OU=Users,OU=Site1,DC=contoso,DC=com" -Account "CONTOSO\_HelpDesk" | Add-QADPermission "OU=Users,OU=Site2,DC=contoso,DC=com"
Теперь, переходя к вопросу: как я могу экспортировать эти разрешения для _HelpDesk в файл и повторно импортировать их на более позднем этапе в другой группе? Например, я хочу экспортировать разрешения для _HelpDesk, сохранить их в файл с именем _HelpDesk_delegation.txt (или любое другое расширение), а затем, через неделю, я хочу импортировать их в переменную и применить их к другому OU для другой группы. , например OU = Users, OU = Site5, DC = contoso, DC = com и для группы _Site5-Local-IT?
Сложно объяснить, но концепция есть.
Имейте в виду, что прямо сейчас я не могу даже «вживую» скопировать разрешения для HelpDesk и назначить их _Site5-Local-IT с помощью указанной выше команды. Надеюсь, вы сможете помочь мне решить эту небольшую проблему. Одна вещь, которую я заметил, заключается в том, что Quest намного лучше с точки зрения копирования / применения разрешений, чем встроенный модуль AD.
Спасибо
Здесь есть скрипты для экспорта и импорта: https://www.akaplan.com/blog/2017/08/export-and-import-delegated-ou-permissions-with-powershell/