Kann ich zwei Gruppen mithilfe des SID-Verlaufs „zusammenführen“?

10

Ich habe zwei AD-Gruppen, die fälschlicherweise erstellt wurden, während es stattdessen nur eine Gruppe geben sollte. Sie enthalten genau die gleichen Benutzer. Diesen Gruppen wurden jedoch verschiedene Berechtigungen für verschiedene Ressourcen (z. B. Dateifreigaben) zugewiesen, und ich kann nicht alle verfolgen und zurücksetzen, um nur auf eine Gruppe zu verweisen.

Kann ich die beiden Gruppen "zusammenführen", wenn ich eine von ihnen lösche und ihre SID in den SID-Verlauf der anderen Gruppe einfüge? Ermöglicht dies den Mitgliedern der verbleibenden Gruppe den Zugriff auf die Ressourcen, für die der gelöschten Gruppe Berechtigungen erteilt wurden?


Aktualisieren:

Es gibt anscheinend keine einfache Möglichkeit, eine SID zum SID-Verlauf eines Benutzers oder einer Gruppe hinzuzufügen. Zumindest können sowohl ADUC als auch ADSIEdit dies nicht. Wenn der oben beschriebene Trick funktioniert, wie kann dies tatsächlich erreicht werden?

Massimo
quelle
Ich glaube nicht, dass Sie dies tun können ... aber das heißt, Sie können in Betracht ziehen, die Mitglieder aus einer Gruppe zu entfernen und nur die zu verschachteln, die die Benutzer in der anderen enthält. Das sollte es Ihnen ermöglichen, beide in ACLs zu behalten und trotzdem in Ordnung zu funktionieren, würde ich annehmen.
TheCleaner
1
Tut mir leid, ich möchte hinzufügen ... dass Sie nur die aktualisieren müssen, bei der noch Mitglieder für das Hinzufügen / Entfernen von Benutzern in dieser Gruppe übrig waren. Nehmen Sie die Gruppe, die keine Mitglieder enthält, und benennen Sie sie in "ES MUSS PRÜFEN" ​​um. Dann können Sie einfach notieren, dass Sie dies jederzeit sehen (oder eine ACL-Abfrage dafür ausführen), um es in die verschachtelte zu ändern Gruppe stattdessen ... schließlich könnten Sie die "oberste Ebene" Gruppe selbst entfernen.
TheCleaner
Dies ist bereits unsere Situation, die Gruppen wurden bereits verschachtelt. Aber wir möchten wirklich eine nutzlose Gruppe loswerden.
Massimo

Antworten:

3

Sie können das SIDHistoryAttribut nicht ändern , da es ein geschütztes Attribut ist.

Eine der wenigen unterstützten Methoden hierfür ist die Verwendung des AD-Migrationstools. Es gibt einige Powershell / Skripte, aber alle erfordern, dass sich die Gruppen in verschiedenen Domänen / Gesamtstrukturen befinden.

Die einzige Möglichkeit, dies zu erreichen, ist die von TheCleaner angegebene. Sie würden die Gruppe, die Sie in Zukunft verwenden möchten (Gruppe 1), zu einem Mitglied der "Legacy" -Gruppe (Gruppe 2) machen, sodass alle Mitglieder von Gruppe 1 Mitglieder von Gruppe 2 sind. Anschließend würden Sie die Benutzer aus Gruppe 2 entfernen und fügen Sie einfach neue Benutzer zu Gruppe 1 hinzu.

HostBits
quelle