Ich habe eine OU in AD, die delegated permissionsihr zugewiesen ist. Gibt es eine Möglichkeit/ein Tool, um delegierte Berechtigungen (oder einfach alle Sicherheitsberechtigungen) für eine OU zu exportieren und dann dieselben Berechtigungen auf eine andere OU in der AD-Struktur anzuwenden?
Der Export scheint einfacher zu sein – DSACLS.exedas geht.
Aber wie importiere/wende ich exportierte Berechtigungen in einer anderen Organisationseinheit in AD an/stelle sie wieder her?
Antwort1
Die Lösung scheint gefunden zu sein und hat tatsächlich auf einem Test-DC mit Windows Server 2012 R2 funktioniert.
Die Hauptidee besteht darin, das LDIFDE-Tool zu verwenden, um den Sicherheitsdeskriptor der Quell-OU zu exportieren, ihn zu ändern und ihn dann auf eine andere erneut anzuwenden.
Z.B
OU ntSecurityDescriptor exportieren:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
Sie erhalten ungefähr Folgendes:
Ändern Sie es, indem Sie die Ziel-OU und die Changetype-Methode ändern und am Ende der Datei einen Bindestrich hinzufügen:
Sobald dies erledigt ist,importieren Sie den geänderten ntSecurityDescriptor:
ldifde -i -f ACLs_destination_OU.txt
PS: Dies basiert auf InformationenHier.