如何将ForeignSecurityPrincipals添加到AD LDS？将“AD用户和计算机帐户”作为FSP引入AD LDS？

Question

如何将 ForeignSecurityPrincipals 添加到＆＃39; Active Directory轻量级目录服务＆＃39; （ AD LDS ）？即带来AD安全主体（用户以及计算机帐户）＆＃39; AD LDS？任何脚本/ ps cmdlet /工具？

添加＆＃39; AD＆＃39;安全原则＆＃34; ForeingSecurtyPrinciaps＆＃34;使用＆＃39; ADSI编辑＆＃39;

来AD LDS

我知道我可以通过让他们成为管理员/读者/用户的成员来带来他们（即为了定义“AD用户”的角色作为读者/用户/管理员，外国安全负责人需要添加 - 这是有道理的 - 所以ADSI编辑会自动将SID添加到外部安全主体容器中（请参阅附图

问题（除了使用adsi编辑分配角色之外，有哪些不同的方式）：

但是，我想知道有没有一种方法没有让安全主体成为其中一个角色的成员？特别是我不想以这种方式为计算机帐户做这些事情＆＃39; - 因为他们没有被归类为＆＃39;管理员＆＃39;或者＆＃39;用户＆＃39;或者＆＃39;角色＆＃39; - AD LDS架构中的默认值。我想我可以扩展架构，以便我的AD LDS实例了解计算机帐户，然后在那里添加计算机。

只是好奇是否还有其他方法可以做到这一点？任何其他工具或PS脚本也会做得很好，我很确定有很多目录服务管理工具＆＃39;

问候。

Answer 1

你似乎在问这两件事。该图像显示您将Active Directory安全主体的访问权限授予ADLDS。但后来你开始讨论扩展架构，建议你从AD中导入对象。

如果是后者，您可以使用FIM，ADAMSync或使用自己动作PowerShell

ADAMSync here

的更多帮助

*更新*

根据Dmitri Gavrilov在this post,中手动添加FSP是不可能的。

Answer 2

实际上，事实证明我可以在ad lds目录对象上设置'权限'，而无需添加到'ForeignSecuritypPrinciaps'容器......

所以，我只是根据sid设置'perms'（下面几个例子，http://greatit.wordpress.com/2012/08/13/dsacls-and-built-in-groups/）

在AD LDS上授予“通用全部/完全控制”的示例：

dscals“\\ {myadldsserver}：{port} \ cn = testadldsobect，cn = test，cn = com'/ g {sid}：GA

dsacls {DN} / g {domain} / {username}：GA

dsacls {DN} / g {domain} / {machinename} $：GA

问候。

Answer 3

或者，您可以使用powershell将用户/计算机添加到其中一个内置组（我的示例将使用读者），然后立即删除它们。 foreignSecurityPrincipal将保留在目录中。当您请求通过SID添加成员时，ADAM / ADLDS似乎代表您实际创建foreignSecurityPrincipal对象。

在配置分区中获取“读者”组...

$ servername =“myserver：389”

$ configPartition =（Get-ADRootDSE -Server $ servername）.namingContexts | ？ {$ _ -match“^ CN =配置”}

$ readersGroup =（“CN = Readers，CN = Roles，”+ $ configPartition）

将SID（Wrap in＆lt; SID = ...＆gt;）添加到读者群

Set-ADObject -Identity $ readersGroup-Add @ {member =“＆lt; SID = S-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX-XXXXX＆gt;”} -Server $ servername

从“读者”群组中删除SID

Set-ADObject -Identity $ readersGroup-Remove @ {member =“＆lt; SID = S-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXX-XXXXX＆gt;”} -Server $ servername