首先我很抱歉没有很好地表达这个问题,因为谷歌很难。 (尝试查找包含“自身用户组”一词的 Google 答案。)
通常,在 Linux 中使用 PAM,当您创建用户“foo”时,该useradd命令将创建一个名为 asso 的组foo,并且该用户将是该组的唯一成员。
但是,使用 ActiveDirectory,一旦创建名为“foo”的用户帐户,就无法同时创建名为“foo”的安全组。
这给我们的 OpenLDAP -> AD 转换带来了问题,因为我们过去在 LDAP 中拥有镜像其帐户的用户组。我想我不反对废除这种做法,但这意味着我们有一个吨要做的文件系统清理工作。
编辑
如果还不清楚,那么问题是:当您的授权/身份验证后端是由 ActiveDirectory 支持的 LDAP 时,如何让用户成为其自己组的唯一成员?如果您不理解这些概念,那么您就没有资格否决这个问题,因为它非常很多内容与 Unix 相关,并且确实是 StackExchange Unix 的主题。
答案1
几年前,当我们进行 OpenLDAP->AD 迁移时,我们也经历过同样的事情。我们从未找到解决方案,但我们也发现这只是群体在 AD 中变得时髦的几种方式中的第一种。我们选择进行文件系统清理,因为一旦进行转换,所有 uid 和 gid 都将发生变化,这意味着无论如何您都必须重做所有 Unix 权限。
如果您需要有关迁移的更多帮助/建议,请随时直接与我联系。