У меня есть несколько групп локальных ресурсов домена, которым необходимы:
а) преобразовать в универсальные группы.
б) переименован.
c) сворачивать пользователей их групп в эту группу.
г) удалить (больше не нужные) группы участников.
В настоящее время группы включают в себя как группы участников (иногда вложенные группы), так и пользователей.
Конечным результатом будет универсальная группа, состоящая только из пользователей. (По сути, это просто сворачивание всей древовидной структуры в единую группу.)
Какой будет лучший заказ:
Сначала измените тип и название группы, затем повторно назначьте участников.
Или наоборот: сначала участники, а не переименование / тип группы?
Или без разницы?
Я не могу найти исчерпывающий источник по этому поводу.
Есть ли какие-нибудь инструменты, которые могут это автоматизировать? Делать это вручную - большая работа ...
P.S.
Это подготовка к миграции / поэтапному отказу от домена.
Универсальные группы (и пользователи) в конечном итоге будут перенесены в новый домен. Домены функционально AD2003 с DC 2008 и 2012 (если это имеет значение).
Я рекомендую вам использовать структуру вложенных групп AGDLP вместо UG. Используйте: Учетные записи => Глобальная группа (GG) => Локальная группа домена (DLG) => Разрешения, так как это упрощает администрирование.
Вам не нужны универсальные группы, если вы переходите в один домен. Кроме того, гораздо проще создавать новые группы (например, через PS / CSV) вместо переименования.
Возвращаясь к теме, я предлагаю вам сначала создать GG / DLG, подготовить сценарий добавления группы, а затем просто перенести (надеюсь, через MS ADMT) учетные записи пользователей + просто запустите сценарий. Учетные записи пользователей будут в глобальных группах, которые уже вложены в DLG.
Кроме того, вы можете подготовить все разрешения перед переносом учетных записей пользователей (автоматический переключатель).
Не стесняйтесь просить больше, так как я уже несколько раз переносил несколько доменных структур в одну.