대신 하나의 그룹만 있어야 했는데 잘못 생성된 두 개의 AD 그룹이 있습니다. 그들은 정확히 동일한 사용자를 포함합니다. 그러나 이러한 그룹에는 다양한 리소스(예: 파일 공유)에 대한 다양한 권한이 할당되어 있어 모든 그룹을 추적하고 하나의 그룹만 참조하도록 재설정할 수 없습니다.
두 그룹 중 하나를 삭제하고 해당 SID를 다른 그룹의 SID 기록에 넣으면 두 그룹을 "병합"할 수 있습니까? 이렇게 하면 나머지 그룹의 구성원이 삭제된 그룹에 권한이 부여된 리소스에 액세스할 수 있습니까?
업데이트:
사용자나 그룹의 SID 기록에 SID를 추가하는 쉬운 방법은 없는 것 같습니다. 적어도 ADUC와 ADSIEdit는 모두 이 작업을 수행할 수 없습니다. 위에서 설명한 트릭이 작동한다면 실제로 어떻게 수행할 수 있습니까?
답변1
SIDHistory보호된 속성이므로 속성 을 수정할 수 없습니다 .
지원되는 유일한 방법 중 하나는 AD 마이그레이션 도구를 사용하는 것입니다. 일부 Powershell/스크립트가 있지만 모두 그룹이 다른 도메인/포리스트에 있어야 합니다.
이를 수행할 수 있는 유일한 방법은 TheCleaner가 지정한 대로입니다. 앞으로 사용하려는 그룹(그룹 1)을 "레거시" 그룹(그룹 2)의 구성원으로 만들어 그룹 1의 모든 구성원이 그룹 2의 구성원이 되도록 합니다. 그런 다음 그룹 2에서 사용자를 제거합니다. 그룹 1에 새 사용자를 추가하면 됩니다.