У меня есть OU в AD, которая delegated permissionsему назначена. Есть ли способ/инструмент для экспорта делегированных разрешений (или просто всех разрешений безопасности) для OU, а затем применить те же самые разрешения к другому OU в структуре AD?
Экспортировать, кажется, проще, - DSACLS.exeможно.
Но как импортировать/применить/восстановить экспортированные разрешения в другом OU в AD?
решение1
Похоже, решение найдено, и оно действительно сработало на тестовом контроллере домена Windows Server 2012 R2.
Основная идея заключается в использовании инструмента LDIFDE для экспорта дескриптора безопасности исходного OU, его изменения и последующего применения к другому OU.
Например
экспорт OU ntSecurityDescriptor:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
Вы получите что-то вроде этого:
Измените его, изменив целевой OU и метод changetype, а также добавив дефис в конце файла:
Как только это будет сделано,импортируйте измененный ntSecurityDescriptor:
ldifde -i -f ACLs_destination_OU.txt
P.S. это основано на информацииздесь.