AD に OU があり、delegated permissionsそれに割り当てられています。OU の委任されたアクセス許可 (またはすべてのセキュリティアクセス許可) をエクスポートし、同じアクセス許可を AD 構造内の別の OU に適用する方法やツールはありますか?
エクスポートは簡単にできるようです -DSACLS.exeこれができます。
しかし、エクスポートされた権限を AD 内の別の OU にインポート/適用/復元するにはどうすればよいでしょうか?
答え1
解決策は見つかったようで、実際にテスト用の Windows Server 2012 R2 DC で動作しました。
主なアイデアは、LDIFDE ツールを使用してソース OU のセキュリティ記述子をエクスポートし、それを変更してから別の OU に再適用することです。
例えば
OU ntSecurityDescriptorをエクスポートします:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
次のようなものが表示されます:
宛先 OU と changetype メソッドを変更し、ファイルの末尾にダッシュを追加して変更します。
これが完了すると、変更した ntSecurityDescriptor をインポートします。
ldifde -i -f ACLs_destination_OU.txt
PSこれは情報に基づいていますここ。