Gostaria de criar um grupo dinâmico com usuários de uma UO específica no meu Active Directory. Posso fazer isso perfeitamente usando a Lista de Distribuição Dinâmica do Exchange, mas é claro que os DDLs Ex são apenas para correio.
Existe alguma maneira de criar isso? Encontrei alguns guias usando o System Center para lidar com isso, mas o System Center não é uma opção.
Desde já, obrigado,
active-directory
groups
dynamic
Vinícius Ferrão
fonte
fonte
Estou respondendo minha própria pergunta. Com as idéias do Mathias do PowerShell, eu encontrei isso na internet:
https://github.com/davegreen/shadowGroupSync
Recursos
O blog do autor contém informações adicionais sobre o design e os motivos da ferramenta.
fonte
Isso pode ser feito com o Adaxes. Tecnicamente, ele atualizará dinamicamente a associação ao grupo assim que os usuários forem atualizados / movidos. Aqui está um exemplo de como manter automaticamente a associação ao grupo com base no atributo Departamento, mas é muito fácil modificá-lo para fazer a mesma coisa com base na OU. http://www.adaxes.com/tutorials_AutomatingDailyTasks_AddUsersToGroupsByDepartment.htm
fonte
Também procurei uma maneira de criar grupos de segurança dinâmicos no Active Directory e cheguei à conclusão como Mathias. Minha solução não era tão elegante quanto a dele, eu uso um script do PowerShell agendado para remover todos os usuários dos grupos e preenchê-los com os usuários da UO. Além disso, assegurei-me de que os grupos de sub OUs fossem adicionados ao grupo de segurança das OUs pai onde ele coubesse.
Não tenho certeza se isso aumenta bem em uma grande empresa, mas o script usa apenas alguns minutos em nossa empresa de 300 usuários.
fonte
A maneira mais fácil é usar o DynamicGroup. http://www.firstattribute.com/en/active-directory/ad-automation/dynamic-groups/
Estamos executando-o em vários ambientes após uma migração do Novell para o Active Directory.
É um software para criar automaticamente grupos de UO, grupos de departamentos e assim por diante. Basta criar o filtro e pronto.
fonte
À declaração deixada por outro membro. Se você não executar isso em um Controlador de Domínio, precisará fornecer uma entrada estática substituindo $ domainController ou poderá adicionar outra, seguida de $ DomainController e passar essas informações.
Para adicionar um usuário a um grupo
Para remover um usuário, você pode fazer a mesma coisa.
Agora, para usar isso, você pode fazer isso ...
ou
Seria melhor ter uma UO de usuários desabilitados ou algo em que isso possa ocorrer ou se você alternar UOs como site ou grupo
fonte