我想创建一个包含来自 Active Directory 中特定 OU 的用户的动态组。我可以使用 Exchange 动态分发列表完美地完成此操作,但当然,Ex DDL 仅适用于邮件。
有什么方法可以创建这个吗?我找到了一些使用 System Center 来处理这个问题的指南,但是 System Center 不是一个选项。
提前致谢,
答案1
Active Directory 中没有动态安全组,只有动态分发组。
为了实现这一点,我认为最可行的选择是使用 Powershell 脚本确定给定 OU 中的人员并相应地更新安全组,可能如下所示:
Import-Module ActiveDirectory
$groupname = PseudoDynamicGroup
$users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"
foreach($user in $users)
{
Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue
}
$members = Get-ADGroupMember -Identity $groupname
foreach($member in $members)
{
if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")
{
Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname
}
}
答案2
我正在回答我自己的问题。借助 Mathias 的 PowerShell 思想,我在互联网上找到了以下内容:
https://github.com/davegreen/shadowGroupSync
特征
- 将一个或多个 OU 中的用户或计算机对象同步到单个组。
- 能够使用 PowerShell Active Directory 过滤器过滤影子组中包含的对象。
- 能够选择影子组类型(安全/分发)。
这作者博客包含有关该工具的设计和动机的附加信息。
答案3
这可以通过 Adaxes 来实现。从技术上讲,一旦用户更新/移动,它就会动态更新组成员身份。下面是一个基于部门属性自动维护组成员身份的示例,但很容易修改它以基于 OU 执行相同的操作。http://www.adaxes.com/tutorials_AutomatingDailyTasks_AddUsersToGroupsByDepartment.htm
答案4
最简单的方法是使用 DynamicGroup。 http://www.firstattribute.com/en/active-directory/ad-automation/dynamic-groups/
从 Novell 迁移到 Active Directory 后,我们在各种环境中运行它。
这是一款自动创建 OU 组、部门组等的软件。只需创建过滤器即可。