0

如何将ForeignSecurityPrincipals添加到“Active Directory 轻型目录服务”(AD LDS)?即将“AD 安全主体(用户以及计算机帐户)”带到 AD LDS?任何脚本/ps cmdlet/工具?

使用“ADSI 编辑”将“AD”安全主体作为“ForeingSecurtyPrincipals”添加到 AD LDS

我知道我可以让他们成为管理员/读者/用户的成员(即,为了将“AD 用户”的角色定义为读者/用户/管理员,需要添加外国安全主体 - 这是有道理的 - 所以 ADSI编辑会自动将 SID 添加到外部安全主体容器中)(请参阅附图使用 ad lds 将“ad security principals”作为成员之一添加到“ad lds”

问题(除了使用 adsi edit 分配角色之外,还有什么不同的方法):

但是,我想知道有没有办法不让安全主体成为其中一个角色的成员?特别是我不想对“计算机帐户”这样做——因为它们没有被归类为“管理员”或“用户”或“角色”——AD LDS 架构中的默认值。我想我可以扩展架构,以便我的 AD LDS 实例了解计算机帐户,然后将计算机添加到那里。

只是好奇是否有其他方法可以做到这一点?任何其他工具或 PS 脚本也会做得很好,因为我很确定有很多“目录服务管理工具”

问候。

4

3 回答 3

1

在这里,您似乎在问两个不同的事情。该图像显示您向 ADLDS 授予对 Active Directory 安全主体的访问权限。但随后您开始谈论扩展架构,暗示您正在寻找从 AD 导入对象。

如果是后者,您可以使用FIMADAMSync或使用例如PowerShell自己滚动。

有关ADAMSync 的更多帮助在这里

* 更新 *

根据 Dmitri Gavrilov 在这篇文章中的说法,手动添加 FSP 是不可能的。

于 2014-05-10T07:02:45.970 回答
0

实际上,事实证明我可以在广告 lds 目录对象上设置“权限”,而无需添加到“ForeignSecuritypPrincipals”容器中......

所以,我只是根据 sid 设置“烫发”(下面有几个例子,http ://greatit.wordpress.com/2012/08/13/dsacls-and-built-in-groups/ )

授予对 AD LDS 对象的“通用全部/完全控制”的示例:

dscals "\\{myadldsserver}:{port}\cn=testadldsobect,cn=test,cn=com' /g {sid}:GA

dsacls {DN} /g {域}/{用户名}:GA

dsacls {DN} /g {域}/{机器名}$:GA

问候。

于 2014-06-15T03:45:15.890 回答
0

或者,您可以使用 powershell 将用户/计算机添加到内置组之一(我的示例将使用 Readers),然后立即删除它们。foreignSecurityPrincipal 将保留在目录中。当您请求按 SID 添加成员时,似乎 ADAM/ADLDS 是实际代表您创建 foreignSecurityPrincipal 对象的对象。

获取配置分区中的读者组...

$servername = "我的服务器:389"

$configPartition = (Get-ADRootDSE -Server $servername).namingContexts | ? { $_ -match "^CN=配置" }

$readersGroup = ("CN=Readers,CN=Roles," + $configPartition)

将 SID (Wrap in <SID=...>) 添加到 Readers 组

Set-ADObject -Identity $readersGroup-Add @{member = "<SID=SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX-XXXXX>"} -Server $servername

从读者组中删除 SID

Set-ADObject -Identity $readersGroup-Remove @{member = "<SID=SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX-XXXXX>"} -Server $servername

于 2015-06-30T22:21:02.307 回答