我真的对LDAP不好,所以我真的不知道从哪里开始。
是否可以与另一个具有特定标题的组中的用户建立新的分发或安全组?用户太多,无法手动添加它们。
答案 0 :(得分:0)
了解如何与AD交互将很有帮助-编写程序(语言?)或使用LDAP客户端(哪个?)。我将通过远程服务器管理工具提供有关使用ldifde.exe的信息。要获取另一组和中具有特定标题的DN列表,请使用具有标题和成员资格要求的过滤器
ldifde -f output.txt -r "(&(title=Desired Title)(memberOf=cn=GroupName,ou=Groups,dc=example,dc=com))" -l "NULL"
这将返回作为指定组的直接成员的用户记录(您将需要该组的标准LDAP DN,memberOf不支持通配符-示例是名为OU的名为“ GroupName”的组example.com AD根目录下的“组”。
然后,您需要使用标识的用户DN作为成员来创建新组。 output.txt文件中会有很多行,上面写着“ changetype:add \ n \ n” ...摆脱掉那些行,所以您只有DN。将“ dn:”更改为“ member:”。在组成员列表之前添加以下信息,以创建LDIF文件来创建新的全局安全组:
dn: CN=GroupName,OU=Groups,dc=example,dc=com
changetype: add
objectClass: group
cn: GroupName
distinguishedName: CN=GroupName,OU=Groups,dc=example,dc=com
instanceType: 4
name: GroupName
sAMAccountName: GroupName
groupType: -2147483646
objectCategory: CN=Group,CN=Schema,CN=Configuration,dc=example,dc=com
member: CN=Person1,OU=ResourceUsers,dc=example,dc=com
member: CN=Person2,OU=ResourceUsers,dc=example,dc=com
member: CN=Person3,OU=ResourceUsers,dc=example,dc=com
member: CN=Person4,OU=ResourceUsers,dc=example,dc=com
member: CN=Person5,OU=ResourceUsers,dc=example,dc=com
使用以下命令导入LDIF文件:
ldifde -i -v -k -y -f output.txt
将使用“成员”属性中列出的帐户创建并填充该组。
如果您将一个新人添加到具有所需标题的第一组中,则不会执行任何操作-这是一次性快照。您可以轻松地确定应从第二组中添加/删除的人
需要添加-具有SourceGroupName成员但不是CreatedGroupName成员的具有所需标题的任何人:
(&(title=Desired Title)(memberOf=cn=SourceGroupName,ou=Groups,dc=example,dc=com)(!(memberOf=cn=CreatedGroupName,ou=Groups,dc=example,dc=com)))
需要删除-属于CreatedGroupName成员,不属于SourceGroupName成员或没有所需标题的任何人。
(&(memberOf=cn=CreatedGroupName,ou=Groups,dc=example,dc=com)(|(!(title=Desired Title))(!(memberOf=cn=SourceGroupName,ou=Groups,dc=example,dc=com))))
随着个人与这两个过滤器之一匹配,从新组中添加/删除成员。