我的问题是,我有许多网络管理应用程序(如 SAN 交换机)不支持 Active Directory 域服务 (AD DS) 中的嵌套组。这些旧式管理应用程序使用 LDAP 或 LDAPS。
我确信我可以使用 Active Directory 轻型目录服务 (AD LDS) 和可能的 Windows 授权管理器来解决此问题;但是我不太确定从哪里开始。
我希望最终能得到这样的结果:
- 可以通过 LDAP/LDAPS 查询其所有直接成员的单个组
- 用于 AD DS 用户名和密码凭据的 LDAP 代理
- 管理组的简单方法,理想情况下,组将聚合 AD DS 中的嵌套成员资格。
- 使用 Windows 堆栈中免费提供的组件的本机解决方案。
如果您有任何建议或以前用过的解决方案来解决此问题,请告诉我。
答案1
我在之前的工作中也遇到过类似的问题。我们最终采用了 Jscott 的做法,即为这些特殊应用创建特定组。这些组以批处理模式每天创建一次(这是我们需要的频率),基于嵌套组中的内容。不幸的是,我不再有源代码,但我们利用dsquery
和 powershell 的组合来构建这些特殊组。
$masterList=dsquery group $DNOfNestedGroup
问题在于,此列表将同时返回用户和成员组。power-shell 逻辑必须消除歧义并递归到子组中,只将唯一的新成员添加到主用户列表中。一旦您构建了主用户列表,您就可以使用它dsadd
来创建(或更新)具有静态成员资格的组。