Czy mogę „scalić” dwie grupy przy użyciu historii SID?

10

Mam dwie grupy AD, które zostały błędnie utworzone, podczas gdy zamiast tego powinna istnieć tylko jedna grupa; zawierają dokładnie tych samych użytkowników. Jednak do tych grup przypisano różne uprawnienia do różnych zasobów (takich jak udziały plików), a ja nie jestem w stanie śledzić ich wszystkich i zresetować, aby odnosiły się tylko do jednej grupy.

Czy mogę „scalić” dwie grupy, jeśli usunę jedną z nich i umieszczę jej identyfikator SID w historii drugiego identyfikatora? Czy pozwoli to członkom pozostałej grupy na dostęp do zasobów, dla których uprawnienia zostały przyznane usuniętemu?

Aktualizacja:

Wygląda na to, że nie ma łatwego sposobu dodania identyfikatora SID do historii identyfikatora SID użytkownika lub grupy; przynajmniej ADUC i ADSIEdit nie są w stanie tego zrobić. Jeśli powyższa sztuczka działa, jak można to faktycznie osiągnąć?

active-directory access-control-list groups sid Massimo
źródło
Nie sądzę, abyś mógł to zrobić ... ale powiedziawszy to, możesz rozważyć usunięcie członków z jednej grupy i po prostu zagnieżdżenie tego, który zawiera użytkowników w drugiej. To powinno pozwolić ci zachować oba w listach ACL i nadal funkcjonować poprawnie, przypuszczam.
TheCleaner,
1
Przepraszam, chciałem dodać ..., który pozwoliłby ci zaktualizować tylko tego, który nadal miał członków do dodawania / usuwania użytkowników w tej grupie. Weź grupę, w której nie ma żadnych członków, i zmień jej nazwę na coś takiego: „TO POTRZEBNA SPRAWDZIĆ” - wtedy możesz po prostu zanotować, że za każdym razem, gdy to zobaczysz (lub uruchomisz zapytanie ACL), zmienisz ją na zagnieżdżoną zamiast tego grupa ... ostatecznie możesz usunąć samą grupę „najwyższego poziomu”.
TheCleaner,
To już nasza sytuacja, grupy zostały już zagnieżdżone. Ale naprawdę chcielibyśmy pozbyć się jednej bezużytecznej grupy.
Massimo,

Odpowiedzi:

3

Nie można zmodyfikować SIDHistoryatrybutu, ponieważ jest to atrybut chroniony.

Jedną z jedynych obsługiwanych metod jest użycie narzędzia migracji AD. Istnieje kilka Powershell / skryptów, ale wszystkie wymagają, aby grupy rezydowały w różnych domenach / lasach.

Jedynym sposobem, w jaki można to osiągnąć, jest określony przez TheCleaner. Grupę, z której chcesz korzystać, należy uczynić z grupy 1, członkiem grupy „starszej” (grupa 2), dzięki czemu wszyscy członkowie grupy 1 będą członkami grupy 2. Następnie usuniesz użytkowników z grupy 2 i po prostu dodaj nowych użytkowników do grupy 1.

HostBits
źródło