Como mesclar dois grupos do AD?

Navegue suas respostas
1

Temos alguns grupos criados de forma descuidada em nosso back-end do AD. Tivemos alguns domínios que foram mesclados e terminamos com grupos semelhantes.

"Ajuda financeira" "ajuda financeira" "FA"

etc ... Eu quero consolidar esses grupos, sem quebrar o acesso da rede de todos.

Algumas pastas eram permissões gerais para um grupo ou outro e eu gostaria de fazer uma varredura global de "localizar e substituir permissões" de pastas em determinados compartilhamentos.

Exemplo: 

folder1 has full access to "Financial Aid"
folder2 has read for "FA"

Gostaria de criar um novo grupo: 

folder1 has full access for "Financial_Aid"
folder2 has read for "Financial_Aid"

... ou apenas "mesclar" um grupo em outro: 

folder1 has full access for "Financial Aid"
folder2 has read for "Financial Aid"

Algum apontador? Não tem medo de cavar em powershell ou python, apenas curioso se alguém tem links relevantes de ver isso feito, e pegadinhas para ter cuidado ...

    
por Ixobelle 31.08.2011 / 22:06

2 respostas

2

Infelizmente, você provavelmente terá que fazer muito isso manualmente. Permissões de sistema de arquivos e permissões de compartilhamento de rede armazenam somente o SID do grupo e as permissões atribuídas localmente. Os controladores de domínio só dizem aos servidores quem está em qual grupo ... e verificam se um usuário é quem eles dizem ser.

O que isso significa ... é que você terá que fazer alterações de permissões diretamente em cada servidor ... Você pode fazer muito script usando a ferramenta de linha de comando "cacls" para permissões do sistema de arquivos ... e os comandos "net share" para ajustar permissões de compartilhamento ... mas no final, isso é 100% menos que o ideal ... e pode acabar dando muitas permissões para as pessoas erradas.

Agora não seria um bom momento para começar do zero e configurar um novo grupo limpo ... e colocar os usuários apropriados nesses grupos ... e definir permissões abrangentes nos compartilhamentos apropriados & arquivos? Dessa forma, você pode eliminar completamente as situações do tipo "é betty-sue supostamente capaz de acessar os documentos pessoais do Dean".

    
por 31.08.2011 / 22:15
1

Que tal isso. Crie um terceiro grupo e coloque todos os funcionários nele. Adicione esse grupo aos dois antigos e remova todas as contas de usuário do grupo. Agora você tem um grupo para adicionar para remover usuários. Depois, com o tempo, remova os grupos antigos das permissões e substitua pelo novo grupo.

FWIW, criamos vários grupos para cada compartilhamento (share_read, share_write, share_admin). Gastar muito tempo na frente descobrir o que fazer antes de começar.

Quanto a como criar esse terceiro grupo, o Powershell v2 e os cmdlets do AD são realmente a tecnologia a ser usada. Se você tiver DCs do Win2k3, adicione o serviço da Web do AD à sua rede. Se você tem DCs Win2k8, você pode usá-los diretamente.

    
por 31.08.2011 / 22:23

Tags

Não é possível re-imagem laptop, "O Windows Setup não pôde configurar o Windows para ser executado no hardware deste computador" A criação de um novo CNAME substitui o antigo?