У меня есть OU в AD, который имеет delegated permissions
присвоенный ему. Там какой-либо путь/инструмент состоит в том, чтобы экспортировать делегированные полномочия (или просто все права доступа) для OU и затем применить те же самые полномочия к другому OU в AD структуре?
Экспорт, кажется, легче, - DSACLS.exe
может сделать это.
Но, как я импортирую/применяю/восстанавливаю экспортируемые полномочия к другому OU в AD?
Кажется, что решение найдено, и оно действительно сработало на тестовом Windows Server 2012 R2 DC.
Основная идея состоит в том, чтобы использовать инструмент LDIFDE для экспорта дескриптора безопасности исходного OU, изменить его, а затем повторно применить его к другому.
Например,
экспорт OU ntSecurityDescriptor:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
Вы получите что-то вроде этого:
Измените его, изменив целевое OU и метод changetype и добавив тире в конец файла:
Как только это будет сделано, импортируйте измененный дескриптор ntSecurityDescriptor:
ldifde -i -f ACLs_destination_OU.txt
PS это основано на информации здесь .