У меня есть две группы AD, которые были созданы по ошибке, тогда как вместо этого должна была быть только одна группа; в них содержатся одни и те же пользователи. Однако этим группам были назначены различные разрешения на различные ресурсы (например, общие файловые ресурсы), и я не могу отслеживать их все и сбрасывать их, чтобы они относились только к одной группе.
Могу ли я «объединить» две группы, если я удалю одну из них и помещу ее SID в историю SID другой? Позволит ли это членам оставшейся группы получить доступ к тем ресурсам, права на которые предоставлены удаленной?
Похоже, нет простого способа добавить SID в историю SID пользователя или группы; по крайней мере, и ADUC, и ADSIEdit не могут этого сделать. Если описанный выше трюк сработает, как этого добиться?
Вы не можете изменить SIDHistory атрибут, поскольку это защищенный атрибут.
Один из единственных поддерживаемых способов сделать это - использовать средство миграции AD. Есть несколько сценариев Powershell / скриптов, но все они требуют, чтобы группы находились в разных доменах / лесах.
Единственный способ, которым вы сможете добиться этого, - это как указано в TheCleaner. Вы должны сделать группу, которую вы хотите использовать для продвижения вперед (группа 1), членом «устаревшей» группы (группа 2), чтобы все члены группы 1 стали членами группы 2. Затем вы удалите пользователей из группы 2. и просто добавляйте новых пользователей в группу 1.