Моя проблема в том, что у меня есть ряд приложений сетевого администрирования, таких как коммутаторы SAN, которые не поддерживают вложенные группы из доменных служб Active Directory (AD DS). Эти устаревшие административные приложения используют LDAP или LDAPS.
Я почти уверен, что могу использовать Active Directory Lightweight Directory Services (AD LDS) и, возможно, диспетчер авторизации Windows, чтобы обойти эту проблему; однако я не совсем уверен, с чего начать.
Я хочу получить:
Если у вас есть предложения или решения, которые вы использовали ранее для решения этой проблемы, сообщите мне.
У меня была аналогичная проблема на предыдущей работе. В итоге мы сделали то же, что и Jscott, а именно создали определенные группы только для этих специальных приложений. Эти группы создавались в пакетном режиме один раз в день (это было так часто, как нам было нужно) на основе того, что было во вложенных группах. К сожалению, у меня больше нет источника для этого, но мы использовали комбинацию dsquery
и PowerShell для создания этих специальных групп.
$masterList=dsquery group $DNOfNestedGroup
Проблема в том, что этот список будет возвращать как пользователей, так и группы участников. Логика Power-Shell должна устранять неоднозначность и рекурсивно переходить в дочерние группы, добавляя только новые уникальные члены в главный список пользователей. После того, как вы создали главный список пользователей, вы можете использовать dsadd
для создания (или обновления) группы со статическим членством.