Ich habe zwei AD-Gruppen, die fälschlicherweise erstellt wurden, während es stattdessen nur eine Gruppe geben sollte. Sie enthalten genau die gleichen Benutzer. Diesen Gruppen wurden jedoch verschiedene Berechtigungen für verschiedene Ressourcen (z. B. Dateifreigaben) zugewiesen, und ich kann nicht alle verfolgen und zurücksetzen, um nur auf eine Gruppe zu verweisen.
Kann ich die beiden Gruppen "zusammenführen", wenn ich eine von ihnen lösche und ihre SID in den SID-Verlauf der anderen Gruppe einfüge? Ermöglicht dies den Mitgliedern der verbleibenden Gruppe den Zugriff auf die Ressourcen, für die der gelöschten Gruppe Berechtigungen erteilt wurden?
Aktualisieren:
Es gibt anscheinend keine einfache Möglichkeit, eine SID zum SID-Verlauf eines Benutzers oder einer Gruppe hinzuzufügen. Zumindest können sowohl ADUC als auch ADSIEdit dies nicht. Wenn der oben beschriebene Trick funktioniert, wie kann dies tatsächlich erreicht werden?
Antworten:
Sie können das
SIDHistory
Attribut nicht ändern , da es ein geschütztes Attribut ist.Eine der wenigen unterstützten Methoden hierfür ist die Verwendung des AD-Migrationstools. Es gibt einige Powershell / Skripte, aber alle erfordern, dass sich die Gruppen in verschiedenen Domänen / Gesamtstrukturen befinden.
Die einzige Möglichkeit, dies zu erreichen, ist die von TheCleaner angegebene. Sie würden die Gruppe, die Sie in Zukunft verwenden möchten (Gruppe 1), zu einem Mitglied der "Legacy" -Gruppe (Gruppe 2) machen, sodass alle Mitglieder von Gruppe 1 Mitglieder von Gruppe 2 sind. Anschließend würden Sie die Benutzer aus Gruppe 2 entfernen und fügen Sie einfach neue Benutzer zu Gruppe 1 hinzu.
quelle