临时加入 AD 组

Question 1

假设所有域控制器都是 Windows Server 2003 或更高版本能使用本机 Active Directory 执行此操作动态对象无需任何脚本即可实现功能。

假设用户帐户“Bob”需要属于“会计”组 24 小时。

创建一个“Bob in Accounting 24 Hours”组并指定entry-TTL在创建时，保留 24 小时（您希望组在 Active Directory 中保留的时间）。
将“会计 24 小时的 Bob”添加为“会计”组的成员
将“Bob”用户帐户添加为“Bob in Accounting 24 Hours”组的成员

在“Bob”用户帐户下次登录时，它将通过“Bob in Accounting 24 Hours”组嵌套组成员身份进入“Accounting”组，成为“Accounting”组的成员。24 小时后，所有域控制器将对“Bob in Accounting 24 Hours”组进行垃圾收集，并且“Bob”将不再是“Accounting”的成员。

诀窍在于非动态对象在创建后无法转换为动态对象。不过，使用组嵌套可以解决此限制。

您需要使用“Active Directory 用户和计算机”以外的工具来创建组，因为您需要entry-TTL在创建组时进行设置。此博客文章中的脚本可能是一个起点（它是为创建用户对象而构建的），或者，您也可以使用ldifde或csvde来进行创建。

Answer

假设所有域控制器都是 Windows Server 2003 或更高版本能使用本机 Active Directory 执行此操作动态对象无需任何脚本即可实现功能。

假设用户帐户“Bob”需要属于“会计”组 24 小时。

创建一个“Bob in Accounting 24 Hours”组并指定entry-TTL在创建时，保留 24 小时（您希望组在 Active Directory 中保留的时间）。
将“会计 24 小时的 Bob”添加为“会计”组的成员
将“Bob”用户帐户添加为“Bob in Accounting 24 Hours”组的成员

在“Bob”用户帐户下次登录时，它将通过“Bob in Accounting 24 Hours”组嵌套组成员身份进入“Accounting”组，成为“Accounting”组的成员。24 小时后，所有域控制器将对“Bob in Accounting 24 Hours”组进行垃圾收集，并且“Bob”将不再是“Accounting”的成员。

诀窍在于非动态对象在创建后无法转换为动态对象。不过，使用组嵌套可以解决此限制。

您需要使用“Active Directory 用户和计算机”以外的工具来创建组，因为您需要entry-TTL在创建组时进行设置。此博客文章中的脚本可能是一个起点（它是为创建用户对象而构建的），或者，您也可以使用ldifde或csvde来进行创建。

Question 2

您可以通过几种方式来处理此问题，但没有一种是 AD 原生的：

编写一个脚本并将其放入任务计划程序中。让它使用当前列表在网络上的某个文本文件或 CSV 中查询。让它在运行时删除不在该列表中的人。
使用 System Center Orchestrator 之类的工具来创建运行手册，将用户添加到组中，并在 X 小时后自动将其删除。
制作一个 Outlook 提醒，手动将人员移除：)

Answer

您可以通过几种方式来处理此问题，但没有一种是 AD 原生的：

编写一个脚本并将其放入任务计划程序中。让它使用当前列表在网络上的某个文本文件或 CSV 中查询。让它在运行时删除不在该列表中的人。
使用 System Center Orchestrator 之类的工具来创建运行手册，将用户添加到组中，并在 X 小时后自动将其删除。
制作一个 Outlook 提醒，手动将人员移除：)

临时加入 AD 组

答案1

答案2

相关内容