0

'Active Directory Lightweight Directory Services' ( AD LDS ) にForeignSecurityPrincipalsを追加する方法は? つまり、'AD セキュリティ プリンシパル (ユーザーおよびコンピューター アカウント)' を AD LDS に導入しますか? スクリプト/ps コマンドレット/ツールはありますか?

「ADSI 編集」を使用して「AD」セキュリティ プリンシパルを「ForeingSecurtyPrincipals」として AD LDS に追加する

管理者/リーダー/ユーザーのメンバーにすることでそれらをもたらすことができることを知っています(つまり、「ADユーザー」の役割をリーダー/ユーザー/管理者として定義するには、外部セキュリティプリンシパルを追加する必要があります-これは理にかなっています-だからADSI edit は SID を外部セキュリティ プリンシパル コンテナーに自動的に追加します) (添付の画像を参照してください)ad lds を使用して、「ad security principals」をメンバーの 1 つとして「ad lds」に追加する

質問 (adsi edit を使用して役割を割り当てる以外に、それを行うさまざまな方法は何ですか):

しかし、セキュリティ プリンシパルをいずれかのロールのメンバーにしない方法はあるのでしょうか? 特に、「コンピューター アカウント」に対してこの方法を実行したくありません。AD LDS スキーマのデフォルトである「管理者」、「ユーザー」、または「ロール」として分類されていないためです。AD LDS インスタンスがコンピューター アカウントを認識できるようにスキーマを拡張し、そこにコンピューターを追加できると思います。

それを行う別の方法があるかどうかだけ知りたいですか?他のツールまたは PS スクリプトも同様に機能します。「ディレクトリ サービス管理ツール」が多数あると確信しています。

よろしく。

4

3 に答える 3

1

ここでは、2 つの異なることについて質問しているようです。この画像は、Active Directory セキュリティ プリンシパルへのアクセス権を ADLDS に付与することを示しています。しかしその後、スキーマの拡張について話し始め、AD からオブジェクトをインポートしようとしていることを示唆しています。

後者の場合は、FIMADAMSyncを使用するか、 PowerShellなどを使用して独自にロールすることができます。

ADAMSyncに関するその他のヘルプはこちら

* アップデート *

この投稿のDmitri Gavrilov によると、手動で FSP を追加することはできません。

于 2014-05-10T07:02:45.970 に答える
0

実際には、「ForeignSecuritypPrincipals」コンテナに追加せずに、ad lds ディレクトリ オブジェクトに「アクセス許可」を設定できることが判明しました...

そのため、sid に基づいて「perms」を設定しました (いくつかの例を以下に示します。http://greatit.wordpress.com/2012/08/13/dsacls-and-built-in-groups/ )

AD LDSオブジェクトで「一般的なすべて/完全な制御」を許可する例:

dscals "\\{myadldsserver}:{ポート}\cn=testadldsobect,cn=test,cn=com' /g {sid}:GA

dsacls {DN} /g {ドメイン}/{ユーザー名}:GA

dsacls {DN} /g {ドメイン}/{マシン名}$:GA

よろしく。

于 2014-06-15T03:45:15.890 に答える
0

または、powershell を使用してユーザー/コンピューターを組み込みグループの 1 つに追加し (私の例では Readers を使用します)、すぐにそれらを削除することもできます。foreignSecurityPrincipal はディレクトリに残ります。ADAM/ADLDS は、SID によるメンバーの追加を要求したときに、実際にforeignSecurityPrincipal オブジェクトを作成しているようです。

構成パーティションで Readers グループを取得します...

$servername = "myserver:389"

$configPartition = (Get-ADRootDSE -Server $servername).namingContexts | ? { $_ -match "^CN=構成" }

$readersGroup = ("CN=リーダー,CN=役割," + $configPartition)

Readers グループに SID (<SID=...> でラップ) を追加します。

Set-ADObject -Identity $readersGroup-Add @{member = "<SID=SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX-XXXXX>"} -Server $servername

Readers グループから SID を削除します。

Set-ADObject -Identity $readersGroup-Remove @{member = "<SID=SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX-XXXXX>"} -Server $servername

于 2015-06-30T22:21:02.307 に答える