Ich habe zwei AD-Gruppen, die fälschlicherweise erstellt wurden, obwohl es eigentlich nur eine Gruppe hätte geben sollen. Sie enthalten genau dieselben Benutzer. Diesen Gruppen wurden jedoch verschiedene Berechtigungen für verschiedene Ressourcen (wie Dateifreigaben) zugewiesen, und ich kann sie nicht alle verfolgen und sie so zurücksetzen, dass sie nur auf eine Gruppe verweisen.
Kann ich die beiden Gruppen „zusammenführen“, wenn ich eine davon lösche und ihre SID in den SID-Verlauf der anderen Gruppe einfüge? Können die Mitglieder der verbleibenden Gruppe dann auf die Ressourcen zugreifen, für die der gelöschten Gruppe Berechtigungen erteilt wurden?
Aktualisieren:
Es scheint, als gäbe es keine einfache Möglichkeit, eine SID zum SID-Verlauf eines Benutzers oder einer Gruppe hinzuzufügen; zumindest können weder ADUC noch ADSIEdit dies. Wenn der oben beschriebene Trick funktioniert, wie kann dies dann tatsächlich erreicht werden?
Antwort1
Sie können das Attribut nicht ändern SIDHistory, da es ein geschütztes Attribut ist.
Eine der wenigen unterstützten Methoden hierfür ist die Verwendung des AD-Migrationstools. Es gibt einige Powershell/Skripte, aber alle erfordern, dass sich die Gruppen in unterschiedlichen Domänen/Gesamtstrukturen befinden.
Dies können Sie nur erreichen, indem Sie die Gruppe, die Sie künftig verwenden möchten (Gruppe 1), zu einem Mitglied der „alten“ Gruppe (Gruppe 2) machen, sodass alle Mitglieder von Gruppe 1 Mitglieder von Gruppe 2 sind. Anschließend entfernen Sie die Benutzer aus Gruppe 2 und fügen einfach neue Benutzer zu Gruppe 1 hinzu.