我们在AD后端有一些不合时宜的组。 我们有几个领域合并,并与类似的团体..
“财政援助”“金融援助”“FA”
等等…我想巩固这些团队,而不会打破每个人的networking访问。
有些文件夹被分配给一个组或另一个组的权限,我想对某些共享上的文件夹进行全局“查找和replace权限”扫描。
例:
folder1 has full access to "Financial Aid" folder2 has read for "FA" 我想要创build一个新的组:
folder1 has full access for "Financial_Aid" folder2 has read for "Financial_Aid"
……或者只是把一个小组合并成另一个小组:
folder1 has full access for "Financial Aid" folder2 has read for "Financial Aid"
任何指针? 不要害怕在PowerShell或Python中挖掘,只是好奇,如果有人有看到这一切的相关链接,并陷入了警惕…
不幸的是,你可能不得不手动做很多事情。 文件系统权限和networking共享权限仅在本地存储组的SID和分配的权限。 域控制器只会告诉服务器在哪个组中……并validation用户是谁,他们是谁。
这意味着…你必须直接对每个服务器进行权限更改…你可以使用命令行工具“cacls”为文件系统权限编写大量脚本。和“networking共享”命令来调整共享权限……但最终,这比理想的要less100%,并且最终可能会给错误的人员带来太多的权限。
现在不是一个好的时机开始新鲜的事情,并设置一个新的清洁团队,并把适当的用户放在这些团体中……并设置适当的股份和文件的清扫权限? 那样的话,就可以完全消除“应该是能够访问院长的个人文件”的types的情况。
这个怎么样。 创build第三组,并把所有的员工放在里面。 将该组添加到两个旧组,并从组中删除所有用户帐户。 现在你有一个组去去添加删除用户。 然后,随着时间的推移,将旧的组从权限中删除,并replace为新的组。
FWIW,我们为每个共享创build了多个组(share_read,share_write,share_admin)。 在开始之前花大量的时间来确定要做什么。
至于如何创build第三组,Powershell v2和AD cmdlet是真正使用的技术。 如果您有Win2k3 DC,请将AD Web服务添加到您的networking中。 如果您有Win2k8 DC,则可以直接使用它们。