如何将ForeignSecurityPrincipals添加到add中?将“AD用户和计算机帐户”作为FSP引入as?
如何将ForeignSecurityPrincipals添加到“Active轻量级目录服务”(AD LDS)?例如,将“AD安全主体(用户以及计算机帐户)”引入AD?有脚本//工具吗?
使用'ADSI编辑‘将' AD’安全原则作为"ForeingSecurtyPrincipals“添加到AD中
我知道我可以让他们成为管理员/读者/用户的成员(也就是说,为了将'AD用户‘定义为读取器/用户/管理员,需要添加外部安全主体(这是有意义的),因此ADSI编辑将自动添加小岛屿发展中国家到放弃安全主体容器中(请参阅所附图像)。
问题(除了使用adsi编辑分配角色外,其他不同的方法是什么):
但是,我想知道是否有一种方法不让安全主体成为其中一个角色的成员?特别是我不想这样做‘计算机帐户’-因为他们不被归类为‘管理员’,‘用户’或‘角色’-默认的AD模式。我想我可以扩展这个模式,以便我的add实例能够理解计算机帐户,然后在那里添加计算机。
只是好奇是否还有别的办法可以做?任何其他工具或PS脚本也会做得很好,我很确定有许多‘目录服务管理工具’。
致以问候。
回答 3
Stack Overflow用户
发布于 2014-06-15 03:45:15
实际上,事实证明,我可以在ad目录对象上设置“权限”,而无需添加到“ForeignSecuritypPrincipals”容器中.
因此,我只是根据sid设置了“perms”(下面几个例子,http://greatit.wordpress.com/2012/08/13/dsacls-and-built-in-groups/ )
对all对象授予“泛型全部/完全控制”的示例:
dscals“{myadldsserver}:{port}\cn=testadldsobect,cn=test,cn=com‘/g {sid}:GA
/g {域}/{用户名}:GA
dsacls {DN} /g {domain}/{machinename}$:GA
致以问候。
Stack Overflow用户
发布于 2014-05-10 07:02:45
你好像在问两件不同的事,这里。此图像显示您将对Active Directory安全主体的访问授予ADLDS。但是接下来您将开始讨论扩展模式,这意味着您希望从AD中导入对象。
如果是后者,您可以使用FIM、ADAMSync或使用PowerShell。
关于ADAMSync在这里的更多帮助
* UPDATE *
根据Dmitri在这个职位,中的说法,手动添加FSPs是不可能的。
Stack Overflow用户
发布于 2015-06-30 22:21:02
或者,您可以使用powershell将用户/计算机添加到一个内置组中(我的示例将使用读取器),然后立即删除它们。foreignSecurityPrincipal将保留在目录中。看起来,当您请求通过SID添加一个成员时,ADAM/ADLDS实际上是代表您创建foreignSecurityPrincipal对象的。
使配置分区中的读取器组.
$servername = "myserver:389“
$configPartition =(Get $servername).namingContexts?{ $_ -match "^CN=Configuration“}
$readersGroup = ("CN=Readers,CN=Roles,“+ $configPartition)
将SID (中的Wrap)添加到读者组中
Set-ADObject -Identity $readersGroup-Add @{-Identity= -Server $servername
从读取器组中删除SID
Set-ADObject -Identity $readersGroup-Remove @{-Identity= -Server $servername
https://stackoverflow.com/questions/23154393
复制相似问题
腾讯云开发者
