Назад | Перейти на главную страницу

Членство в динамической группе, чтобы обойти отсутствие поддержки вложенных групп безопасности для Active Directory

Моя проблема в том, что у меня есть ряд приложений сетевого администрирования, таких как коммутаторы SAN, которые не поддерживают вложенные группы из доменных служб Active Directory (AD DS). Эти устаревшие административные приложения используют LDAP или LDAPS.

Я почти уверен, что могу использовать Active Directory Lightweight Directory Services (AD LDS) и, возможно, диспетчер авторизации Windows, чтобы обойти эту проблему; однако я не совсем уверен, с чего начать.

Я хочу получить:

Если у вас есть предложения или решения, которые вы использовали ранее для решения этой проблемы, сообщите мне.

У меня была аналогичная проблема на предыдущей работе. В итоге мы сделали то же, что и Jscott, а именно создали определенные группы только для этих специальных приложений. Эти группы создавались в пакетном режиме один раз в день (это было так часто, как нам было нужно) на основе того, что было во вложенных группах. К сожалению, у меня больше нет источника для этого, но мы использовали комбинацию dsquery и PowerShell для создания этих специальных групп.

$masterList=dsquery group $DNOfNestedGroup

Проблема в том, что этот список будет возвращать как пользователей, так и группы участников. Логика Power-Shell должна устранять неоднозначность и рекурсивно переходить в дочерние группы, добавляя только новые уникальные члены в главный список пользователей. После того, как вы создали главный список пользователей, вы можете использовать dsadd для создания (или обновления) группы со статическим членством.