У меня есть две группы AD, которые были созданы по ошибке, хотя вместо этого должна была быть только одна группа; они содержат одних и тех же пользователей. Однако этим группам были назначены различные разрешения на различные ресурсы (например, общие папки), и я не могу отслеживать их все и сбросить их так, чтобы они ссылались только на одну группу.
Могу ли я "объединить" две группы, если удалю одну из них и поместлю ее SID в историю SID другой? Позволит ли это членам оставшейся группы получить доступ к тем ресурсам, на которые были предоставлены разрешения удаленной?
Обновлять:
Похоже, что нет простого способа добавить SID в историю SID пользователя или группы; по крайней мере, и ADUC, и ADSIEdit не могут этого сделать. Если описанный выше трюк работает, как это можно сделать на самом деле?
решение1
Вы не можете изменить этот SIDHistoryатрибут, так как он защищен.
Один из поддерживаемых методов — использование AD Migration Tool. Есть несколько Powershell/скриптов, но все они требуют, чтобы группы находились в разных доменах/лесах.
Единственный способ, которым вы сможете это сделать, — это как указано в TheCleaner. Вы бы сделали группу, которую вы хотите использовать в дальнейшем (группа 1), членом «старой» группы (группа 2), так что все члены группы 1 стали бы членами группы 2. Затем вы бы удалили пользователей из группы 2 и просто добавили бы новых пользователей в группу 1.