Drakrilla 0 Geschrieben 26. März 2018 Melden Teilen Geschrieben 26. März 2018 Hallo Gemeinde Ich suche eine Möglichkeit (am liebsten über PS) um in einem AD auf einer gewissen OU sämtliche User/Gruppen Berechtigungen die auf diese OU und alle Sub-OU´s gesetzt sind, verständlich (nach OU oder SubOU sortiert) in ein CSV zu exportieren. Diese Daten werden anschließend manuell bereinigt. Anschließend sollten die bereinigten Daten in einer zweiten Domäne mit gleichem OU Aufbau importiert werden können. Kann mit hier jemand PS mäßig helfen wie so etwas zu bewerkstelligen wäre? AD Struktur habe ich bereits per PS ausgelesen und auf dem zweiten AD importiert. Besten Dank jetzt schon für Eure Hilfe Drakrilla Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 26. März 2018 Melden Teilen Geschrieben 26. März 2018 Moin, das ist nicht so ohne Weiteres möglich. Spätestens beim Import wird es schwierig, weil die Berechtigungen intern mit SIDs gespeichert sind, nicht mit den Namen der Konten. Da die Objekte in der Zieldomäne andere SIDs haben, lassen sich die Quellberechtigungen so nur mit höherem Aufwand übertragen. Du findest im Web eine ganze Reihe von Skripten, die die ACLs von AD-Containern ausgeben. Basierend darauf könnte man eine CSV-Logik bauen, die die Namen (nicht die SIDs) der berechtigten User oder Gruppen pro Container ausgibt. Damit könnte man dann ein Importskript bauen. Aber: Die Berechtigungen im AD können sehr komplex sein, es kann durchaus -zig Einträge für einen Container geben. Erschwerend kommt hinzu, dass die meisten ACL-Einträge vererbt sind. Noch dazu kann die Vererbung ihrerseits sehr komplex sein. Und damit nicht genug: Berechtigungen können auch für einzelne Objektklassen oder sogar für Attribute gelten. Damit müsste eine Lösung passend umgehen - das macht die Sache beliebig aufwändig. Hier wäre also zu prüfen, ob ein Import/Export wirklich eine passende Lösung ist. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 26. März 2018 Melden Teilen Geschrieben 26. März 2018 Hi, vor 30 Minuten schrieb Drakrilla: Diese Daten werden anschließend manuell bereinigt. Anschließend sollten die bereinigten Daten in einer zweiten Domäne mit gleichem OU Aufbau importiert werden können. heißt das du möchtest auf diesem Weg von Domain alt zu Domain neu "migrieren" oder soll die bestehende Domäne eine Art "Referenzmodell" für n weitere Domänen werden? Oder noch anders gefragt: Was hast du denn am Ende vor bzw. was soll dabei rauskommen? Evtl. ist das hier ein "Script-Schnipsel", der Nils' Worte in PowerShell Code verdeutlicht: https://gallery.technet.microsoft.com/scriptcenter/Update-ACL-Skeleton-2afcfc8f (Nach "ein wenig" Lesen hat mir der Artikel zumindest in den letzten Wochen enorm geholfen bei einem entsprechenden Script zur Berechtigung) Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.