我正在尝试为我们的 4 个支持组标准化 AD 权限。我已经为 2 个标准组(全球支持)应用了权限,现在我正面临着对基于站点的支持进行痛苦的清理,因为有一个特定的组需要分配权限。显然,如果我能找到答案,我就可以考虑为新的 OU 实施对全局组的权限。我所说的权限是指委派。
为了加快速度,我已经正确设置了某些 OU,因此我一直在做的是复制权限并将其应用于另一个 OU。这是 AD 的结构:-Site 1 --Desktops --Laptops --Users -Site 2 --Desktops --Users
等等。现在,假设我已正确配置站点 1(请注意,我在每个子 OU 分配权限,因此台式机、笔记本电脑等等)。我将为每个组执行以下操作:
Get-QADPermission "OU=Users,OU=Site1,DC=contoso,DC=com" -Account "CONTOSO\_HelpDesk" | Add-QADPermission "OU=Users,OU=Site2,DC=contoso,DC=com"
现在,问题来了:如何在文件中导出 _HelpDesk 的权限并在稍后重新导入它们在不同的组? 例如,我想导出 _HelpDesk 的权限,将它们保存到名为 _HelpDesk_delegation.txt 的文件(或任何扩展名),然后一周后,我想将它们导入变量并将它们应用于另一个组的另一个 OU,例如 OU=Users,OU=Site5,DC=contoso,DC=com 和 _Site5-Local-IT 组?
有点难以解释,但概念就是在那里。
请记住,目前我甚至无法使用上述命令“实时”复制 HelpDesk 的权限并将其分配给 _Site5-Local-IT。希望您能指导我解决这个小问题。我注意到的一件事是,Quest 在复制/应用权限方面比内置 AD 模块要好得多。
谢谢