我在 AD 中有一個 OU,已delegated permissions
指派給它。有沒有任何方法/工具可以匯出 OU 的委派權限(或只是所有安全權限),然後將完全相同的權限套用到 AD 結構中的另一個 OU?
導出似乎更容易,-DSACLS.exe
可以做到這一點。
但是,如何將匯出的權限匯入/應用程式/還原到 AD 中的另一個 OU?
答案1
解決方案似乎已找到,並且實際上在測試 Windows Server 2012 R2 DC 上有效。
主要想法是使用LDIFDE工具匯出來源OU的安全描述符,對其進行修改,然後重新應用到另一個OU。
例如
匯出 OU ntSecurityDescriptor:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
你會得到這樣的東西:
透過更改目標 OU 和更改類型方法並在文件末尾添加破折號來修改它:
一旦完成此操作,匯入修改後的 ntSecurityDescriptor:
ldifde -i -f ACLs_destination_OU.txt
PS這是基於訊息這裡。