Tengo una OU en AD, que se delegated permissionsle ha asignado. ¿Existe alguna forma/herramienta para exportar permisos delegados (o simplemente todos los permisos de seguridad) para una unidad organizativa y luego aplicar los mismos permisos a otra unidad organizativa en la estructura AD?
Exportar parece ser más fácil. DSACLS.exePuedes hacerlo.
Pero, ¿cómo importo/aplico/restauro permisos exportados a otra unidad organizativa en AD?
Respuesta1
Parece que se encontró la solución y de hecho funcionó en una prueba de Windows Server 2012 R2 DC.
La idea principal es utilizar la herramienta LDIFDE para exportar el descriptor de seguridad de la unidad organizativa de origen, modificarlo y luego volver a aplicarlo a otra.
P.ej
exportar OU ntSecurityDescriptor:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
Obtendrá algo como esto:
Modifíquelo cambiando la unidad organizativa de destino y el método de cambio de tipo y agregando un guión al final del archivo:
Una vez hecho esto,importe el ntSecurityDescriptor modificado:
ldifde -i -f ACLs_destination_OU.txt
PD: esto se basa en información.aquí.