Tengo dos grupos de AD que se crearon por error cuando debería haber solo un grupo; contienen exactamente los mismos usuarios. Sin embargo, a estos grupos se les han asignado varios permisos en varios recursos (como archivos compartidos) y no puedo rastrearlos a todos y restablecerlos para que se refieran solo a un grupo.
¿Puedo "fusionar" los dos grupos si elimino uno de ellos y coloco su SID en el historial de SID del otro? ¿Esto permitirá que los miembros del grupo restante accedan a aquellos recursos para los cuales se han otorgado permisos al eliminado?
Actualizar:
Parece que no existe una manera sencilla de agregar un SID al historial de SID de un usuario o grupo; al menos, tanto ADUC como ADSIEdit no pueden hacer esto. Si el truco descrito anteriormente funciona, ¿cómo se puede lograr realmente?
Respuesta1
No puede modificar el SIDHistoryatributo porque es un atributo protegido.
Uno de los únicos métodos admitidos para hacerlo es utilizar la herramienta de migración AD. Hay algunos Powershell/scripts, pero todos requerirían que los grupos residan en diferentes dominios/bosques.
La única forma de lograr esto es según lo especificado por TheCleaner. Haría que el grupo que desea usar en el futuro (grupo 1) sea miembro del grupo "heredado" (grupo 2) para que todos los miembros del grupo 1 sean miembros del grupo 2. Luego eliminaría a los usuarios del grupo 2. y simplemente agregue nuevos usuarios al grupo 1.