Динамическое членство в группах для обхода без поддержки вложенных групп безопасности для Active Directory
Моя проблема заключается в том, что у меня есть несколько приложений сетевого администрирования, таких как коммутаторы SAN, которые не поддерживают вложенные группы из доменных служб Active Directory (AD DS). Эти устаревшие приложения администрирования используют либо LDAP, либо LDAPS.
Я вполне уверен, что могу использовать Active Directory облегченные службы каталогов (AD LDS) и, возможно, Windows Authorization Manager, чтобы обойти эту проблему; Однако я не совсем уверен, с чего начать.
Я хочу закончить с:
- Единая группа, которая может быть запрошена через LDAP/LDAPS для всех ее прямых членов
- Прокси-сервер LDAP для ввода имени пользователя и пароля в AD DS
- Простой способ администрирования группы, в идеале группа должна объединять вложенное членство в AD DS.
- нативное решение с использованием свободно доступных компонентов из стека Windows.
Если у вас есть какие-либо предложения или решения, которые вы ранее использовали для решения этой проблемы, пожалуйста, дайте мне знать.
1 ответ
У меня была похожая проблема на предыдущей работе. Мы закончили тем, что делали то, что делал Jscott, то есть создавал конкретные группы только для этих специальных приложений. Эти группы создавались в пакетном режиме один раз в день (это было так часто, как нам было нужно) в зависимости от того, что было в них во вложенных группах. К сожалению, у меня больше нет источника для этого, но мы использовали комбинацию dsquery и PowerShell для создания этих специальных групп.
$masterList=dsquery group $DNOfNestedGroup
Проблема в том, что этот список будет возвращать как пользователей, так и группы пользователей. Логика Power-Shell должна устранять неоднозначность и повторяться в дочерних группах, добавляя только уникально новых членов в основной список пользователей. Как только вы создадите основной список пользователей, вы можете использовать dsadd создать (или обновить) группу со статическим членством.