Criando um grupo dinâmico no Active Directory com usuários de uma unidade organizacional

Navegue suas respostas
7

Gostaria de criar um grupo dinâmico com usuários de uma unidade organizacional específica no meu Active Directory. Eu posso fazer isso perfeitamente usando a lista de distribuição dinâmica do Exchange, mas é claro que os DDLs são apenas para email.

Existe alguma maneira de criar isso? Eu encontrei alguns guias usando o System Center para lidar com isso, mas o System Center não é uma opção.

Agradecemos antecipadamente

    
por Vinícius Ferrão 16.03.2013 / 05:56

5 respostas

10

Não existe um Grupo de Segurança Dinâmico no Active Directory, apenas grupos de Distribuição Dinâmica.

Para conseguir isso, acho que a opção mais viável seria ter um script Powershell determinando quem está na OU e atualizar o grupo de segurança de acordo, talvez assim: 

Import-Module ActiveDirectory
$groupname = PseudoDynamicGroup
$users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"
foreach($user in $users)
{
  Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue
}
$members = Get-ADGroupMember -Identity $groupname
foreach($member in $members)
{
  if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")
  {
    Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname
  }
}
    
por 16.03.2013 / 12:35
4

Estou respondendo a minha própria pergunta. Com as ideias do PowerShell de Mathias eu encontrei isso na internet:

link

Recursos

  • Sincronize objetos de usuário ou computador de uma ou mais UOs para um único grupo.
  • Capacidade de filtrar objetos incluídos no grupo de sombra usando o Filtro do Active Directory do PowerShell.
  • Capacidade de escolher o tipo de grupo de sombra (segurança / distribuição).

O blog do autor contém informações adicionais sobre o design e os motivos da ferramenta.

    
por 23.03.2013 / 22:24
2

Isso pode ser feito com Adaxes. Tecnicamente, ele atualizará dinamicamente a associação ao grupo quando os usuários forem atualizados / movidos. Veja um exemplo de como manter automaticamente a associação ao grupo com base no atributo Department, mas é muito fácil modificá-lo para fazer a mesma coisa com base na UO. link

    
por 07.09.2015 / 11:43
1

Eu também procurei uma maneira de criar grupos dinâmicos de segurança no Active Directory e cheguei à conclusão como Mathias. Minha solução não foi tão elegante quanto a dele, uso um script powershell agendado para remover todos os usuários dos grupos e, em seguida, preencha-os com os usuários na UO. Além disso, certifiquei-me de que os grupos de sub-unidades organizacionais foram adicionados ao grupo de segurança das UOs pai em que ele se encaixava. 

import-module ActiveDirectory
Get-ADGroupMember OU_GroupName | % { Remove-ADGroupMember 'OU_GroupName' -Members $_ -Confirm:$false}
Get-ADUser -SearchBase 'OU=OUName,OU=ParentOUName,DC=DomainName,DC=TopDomainName' -Searchscope 1 -Filter * | % { Add-ADGroupMember 'OU_GroupName' -Members $_ }
Add-ADGroupMember -Identity "OU_ParentName" -Members "OU_ChildOneName", "OU_ChildTwoName", "OU_ChildThreeName"

Não tenho certeza se isso se adapta bem a uma grande empresa, mas o script usa apenas alguns minutos em nossa empresa de 300 usuários.

    
por 17.03.2013 / 15:54
1

A maneira mais fácil é usar o DynamicGroup. link

Estamos executando em vários ambientes após a migração do Novell para o Active Directory.

É um software para criar automaticamente grupos de unidades organizacionais, grupos de departamentos e assim por diante. Basta criar o filtro e pronto.

    
por 13.06.2016 / 14:57

Tags

Como apagar o conteúdo dos diretórios (e não o próprio diretório) usando find -exec e rm? Usando autenticação de par de chaves ssh e desativando a autenticação de senha ssh - o que acontece se a chave privada for perdida?