Как объединить две AD группы?
Фильтрация легче, чем "перенаправление", но лучше всего сделана через прокси или фильтр веб-контента, или аппаратные средства или сервис.
Перенаправление определенных доменов, скажем MySpace.com, путем создания авторитетной зоны на сервере DNS и затем создания собственных записей A/CNAME, вероятно, будет административной проблемой в лучшем случае и трудный централизованно обойти, если у кого-то будет законная потребность получить доступ к сайту. С другой стороны, это может быть легко обойдено опытными пользователями с сервисом/клиентом прокси на рабочую станцию.
Необходимо отправить больше деталей о том, что Вы пытаетесь выполнить и почему для более подробного ответа.
Unfortunately, you're probably going to have to do a lot of this manually. File-system permissions and network-share permissions only store the SID of the group and the assigned permissions locally. The domain-controllers only tell servers who is in what group... and verify that a user is who they say they are.
What that means... is that you'll have to make permissions changes to EACH server directly... You might be able to script a lot of it using the command-line tool "cacls" for file-system permissions... and the "net share" commands to adjust share permissions... but ultimately, this is 100% less than ideal... and may end-up giving too many permissions to the wrong people.
Wouldn't now be a good time to start fresh and setup a new clean group... and put the appropriate users in those groups... and set sweeping permissions on the appropriate shares & files? That way, you can completely eliminate the "is betty-sue supposed to be able to access the Dean's personal documents" type situations.
How about this. Create a third group and put all the employees in it. Add that group to the two old ones and remove all user accounts from the group. Now you have one group to go to to add remove users. Затем со временем удалите старые группы из разрешений и замените их новой группой.
FWIW, мы создаем несколько групп для каждого общего ресурса (share_read, share_write, share_admin). Потратьте много времени на то, чтобы заранее выяснить, что делать, прежде чем начинать.
Что касается того, как создать эту третью группу, Powershell v2 и командлеты AD - это действительно технология, которую нужно использовать. Если у вас есть контроллеры домена Win2k3, добавьте в свою сеть веб-службу AD. Если у вас есть контроллеры домена Win2k8, вы можете использовать их напрямую.