Associação dinâmica ao grupo para contornar o suporte a grupos de segurança aninhados para o Active Directory

3

Meu problema é que eu tenho vários aplicativos de administração de rede, como comutadores SAN que não suportam grupos aninhados do AD DS (Serviços de Domínio Active Directory). Esses aplicativos de administração legados usam LDAP ou LDAPS.

Tenho quase certeza de que posso usar os Serviços AD LDS (Active Directory Lightweight Directory Services) e, possivelmente, o Windows Authorization Manager para contornar esse problema; no entanto, não sei bem por onde começar.

Eu quero acabar com:

  • Um único grupo que pode ser consultado sobre LDAP / LDAPS para todos os membros diretos
  • Proxy LDAP para credenciais de nome de usuário e senha para o AD DS
  • Maneira fácil de administrar o grupo, idealmente, o grupo agregaria a associação aninhada no AD DS.
  • uma solução nativa usando componentes disponíveis gratuitamente na pilha do Windows.

Se você tiver alguma sugestão ou solução que tenha usado anteriormente para resolver esse problema, avise-nos.

    
por Bernie White 02.10.2012 / 00:55

1 resposta

3

Eu tive um problema semelhante em um trabalho anterior. Acabamos fazendo o que o Jscott fez, que era criar grupos específicos apenas para esses aplicativos especiais. Esses grupos foram criados em modo batch uma vez por dia (com a frequência que precisávamos) com base no que os grupos aninhados tinham neles. Infelizmente, não tenho mais a fonte para isso, mas aproveitamos uma combinação de dsquery e powershell para criar esses grupos especiais.

$masterList=dsquery group $DNOfNestedGroup

O problema é que essa lista retornará tanto usuários quanto grupos de membros. A lógica do shell de alimentação deve ser desambigua e recursiva nos grupos filhos, adicionando apenas novos membros exclusivos à lista de usuários principais. Depois de criar a lista de usuários mestre, você poderá usar dsadd para criar (ou atualizar) um grupo com associação estática.

    
por 02.10.2012 / 02:16