我们的 AD 后端有一些随意创建的组。我们有几个域被合并,最后形成了类似的组。
“财政援助” “financialaid” “FA”
等等...我想合并这些群组,但又不破坏每个人的网络访问。
一些文件夹被授予一个组或另一个组的权限,我想对某些共享上的文件夹进行全局的“查找和替换权限”扫描。
例子:
folder1 has full access to "Financial Aid"
folder2 has read for "FA"
我想创建一个新组:
folder1 has full access for "Financial_Aid"
folder2 has read for "Financial_Aid"
...或者只是将一个组“合并”到另一个组:
folder1 has full access for "Financial Aid"
folder2 has read for "Financial Aid"
有什么指点吗?不怕在 powershell 或 python 中挖掘,只是好奇是否有人有相关链接可以看到这个操作,以及需要注意的陷阱...
答案1
不幸的是,您可能不得不手动完成很多工作。文件系统权限和网络共享权限仅在本地存储组的 SID 和分配的权限。域控制器仅告诉服务器谁属于哪个组……并验证用户是否是他们所说的那个人。
这意味着...您必须直接对每个服务器进行权限更改...您可能能够使用命令行工具“cacls”为文件系统权限编写大量脚本...并使用“net share”命令调整共享权限...但最终,这 100% 不太理想...并且可能最终将过多的权限授予错误的人。
现在是不是重新开始并设置一个新的干净组...并将适当的用户放入这些组中...并在适当的共享和文件上设置全面权限的好时机?这样,您就可以完全消除“betty-sue 是否应该能够访问院长的个人文件”之类的情况。
答案2
怎么样?创建第三个组并将所有员工放入其中。将该组添加到两个旧组中,并从该组中删除所有用户帐户。现在,您有一个组可以添加删除用户。然后,随着时间的推移,从权限中删除旧组并替换为新组。
值得一提的是,我们为每个共享创建了多个组(share_read、share_write、share_admin)。在开始之前,花很多时间弄清楚要做什么。
至于如何创建第三组,Powershell v2 和 AD cmdlet 才是真正需要使用的技术。如果您有 Win2k3 DC,请将 AD Web 服务添加到您的网络。如果您有 Win2k8 DC,则可以直接使用它们。