我的问题是我有许多网络管理应用程序,例如 SAN 交换机,它们不支持来自 Active Directory 域服务 (AD DS) 的嵌套组。这些遗留管理应用程序使用 LDAP 或 LDAPS。
我相当确定我可以使用 Active Directory 轻型目录服务 (AD LDS) 和可能的 Windows 授权管理器来解决这个问题;但是我不确定从哪里开始。
我想结束:
- 可以通过 LDAP/LDAPS 查询其所有直接成员的单个组
- 用于 AD DS 的用户名和密码凭据的 LDAP 代理
- 管理组的简单方法,理想情况下,组将聚合 AD DS 中的嵌套成员身份。
- 使用 Windows 堆栈中免费提供的组件的本机解决方案。
如果您有任何以前用于解决此问题的建议或解决方案,请告诉我。
我在以前的工作中遇到过类似的问题。我们最终做了 Jscott 所做的事情,即为那些特殊的应用程序创建特定的组。这些组是根据嵌套组中的内容每天以批处理模式创建一次(这是我们需要的频率)。不幸的是,我不再拥有它的来源,但我们利用
dsquerypowershell 的组合来构建这些特殊组。问题在于此列表将同时返回用户和成员组。power-shell 逻辑必须消除歧义并递归到子组中,只将唯一的新成员添加到主用户列表中。构建主用户列表后,您可以使用它
dsadd来创建(或更新)具有静态成员资格的组。