Mam dwie grupy AD, które zostały błędnie utworzone, podczas gdy zamiast tego powinna istnieć tylko jedna grupa; zawierają dokładnie tych samych użytkowników. Jednak do tych grup przypisano różne uprawnienia do różnych zasobów (takich jak udziały plików), a ja nie jestem w stanie śledzić ich wszystkich i zresetować, aby odnosiły się tylko do jednej grupy.
Czy mogę „scalić” dwie grupy, jeśli usunę jedną z nich i umieszczę jej identyfikator SID w historii drugiego identyfikatora? Czy pozwoli to członkom pozostałej grupy na dostęp do zasobów, dla których uprawnienia zostały przyznane usuniętemu?
Aktualizacja:
Wygląda na to, że nie ma łatwego sposobu dodania identyfikatora SID do historii identyfikatora SID użytkownika lub grupy; przynajmniej ADUC i ADSIEdit nie są w stanie tego zrobić. Jeśli powyższa sztuczka działa, jak można to faktycznie osiągnąć?
Odpowiedzi:
Nie można zmodyfikować
SIDHistory
atrybutu, ponieważ jest to atrybut chroniony.Jedną z jedynych obsługiwanych metod jest użycie narzędzia migracji AD. Istnieje kilka Powershell / skryptów, ale wszystkie wymagają, aby grupy rezydowały w różnych domenach / lasach.
Jedynym sposobem, w jaki można to osiągnąć, jest określony przez TheCleaner. Grupę, z której chcesz korzystać, należy uczynić z grupy 1, członkiem grupy „starszej” (grupa 2), dzięki czemu wszyscy członkowie grupy 1 będą członkami grupy 2. Następnie usuniesz użytkowników z grupy 2 i po prostu dodaj nowych użytkowników do grupy 1.
źródło