Почему мы не можем напрямую изменить группу с глобальной области видимости на локальную домен или наоборот?
Если нам нужно изменить область действия группы с глобальной на локальную домен или наоборот, нам сначала нужно изменить ее на универсальную. Что является причиной этого?
Я полагаю, вы не можете этого сделать, потому что нужно сделать некоторые проверки. Например, если область действия группы - локальный домен и она содержит внешних участников (т. Е. Учетные записи из внешнего леса AD), преобразование невозможно:
Другая причина может заключаться в том, что пользовательский интерфейс и API-интерфейсы довольно старые, и Microsoft решила не добавлять новые функции - кто знает (:
ОБНОВИТЬ: Я протестировал изменение области действия группы с помощью PowerShell:
Get-ADGroup testgroup | Set-ADGroup -GroupScope Global
Результат похож:
Set-ADGroup : The request is not supported
Фактически проверка выполняется контроллером домена, который возвращает ошибку 50 (0x32) - ERROR_NOT_SUPPORTED.
Для меня это означает, что такой встроенной функциональности нет, потому что в большинстве случаев преобразование предполагает ручную работу, то есть удаление внешних принципалов и т. Д.
Вы все еще можете это сделать, учитывая, что в группе еще нет конфликтующего членства. Вы можете преобразовать его в универсальный, а затем обратно в локальный домен.
Это заставило меня застрять на минуту.
У меня сработало следующее решение:
Set-ADGroup -Identity (FolderName) -GroupScope Domainlocal
Попробуй это:
$results = get-adgroup -filter {name -like "rename_me*"} -server | sort name
$results | Set-ADGroup -GroupScope Universal
$results | Set-ADGroup -GroupScope Global
$results += get-adgroup -filter {name -like "rename_me*"} -server | sort name
$results | export-csv C:\Scripts\results.csv