我有兩個 AD 組,它們是錯誤創建的,而應該只有一組;它們包含完全相同的使用者。但是,這些群組已被分配了對各種資源(如文件共享)的各種權限,我無法追蹤所有這些群組並將它們重置為僅引用一個群組。
如果我刪除其中一個群組並將其 SID 放入另一個群組的 SID 歷史記錄中,我可以「合併」這兩個群組嗎?這是否允許剩餘群組的成員存取已向已刪除群組授予權限的資源?
更新:
似乎沒有簡單的方法可以將 SID 新增到使用者或群組的 SID 歷史記錄中;至少,ADUC和ADSIEdit都無法做到這一點。如果上述技巧有效,那麼實際上該如何實現呢?
答案1
您無法修改該SIDHistory屬性,因為它是受保護的屬性。
唯一支援的方法之一是使用 AD 遷移工具。有一些 Powershell/腳本,但它們都要求這些群組駐留在不同的網域/林中。
能夠實現此目的的唯一方法是 TheCleaner 指定的方法。您可以將要繼續使用的群組(群組 1)設為「舊」群組(群組 2)的成員,以便群組 1 的所有成員都是群組 2 的成員。使用者加入到群組1 中。