我在 AD 中有一个 OU,已delegated permissions分配给它。是否有任何方法/工具可以导出 OU 的委派权限(或所有安全权限),然后将相同的权限应用于 AD 结构中的另一个 OU?
导出似乎更容易,-DSACLS.exe可以做到这一点。
但是,如何将导出的权限导入/应用/恢复到 AD 中的另一个 OU?
答案1
似乎已经找到了解决方案,并且它实际上在测试 Windows Server 2012 R2 DC 上运行良好。
主要思想是使用 LDIFDE 工具导出源 OU 的安全描述符,修改它,然后将其重新应用到另一个 OU。
例如
导出 OU ntSecurityDescriptor:
LDIFDE.exe -f ACLs_source_OU.txt -d "OU=Desktop,OU=Users,DC=yourcompany,DC=com" -l ntSecurityDescriptor
你会得到类似这样的结果:
通过更改目标 OU 和 changetype 方法并在文件末尾添加破折号来修改它:
一旦完成,导入修改后的ntSecurityDescriptor:
ldifde -i -f ACLs_destination_OU.txt
PS 这是基于信息这里。