Posso "unire" due gruppi usando la cronologia SID?

10

Ho due gruppi AD che sono stati creati erroneamente mentre invece dovrebbe esserci stato un solo gruppo; contengono gli stessi utenti esatti. Tuttavia, a questi gruppi sono state assegnate varie autorizzazioni su varie risorse (come le condivisioni di file) e non sono in grado di tracciarle tutte e reimpostarle per fare riferimento a un solo gruppo.

Posso "unire" i due gruppi se ne elimino uno e inserisco il SID nella cronologia SID dell'altro? Ciò consentirà ai membri del gruppo rimanente di accedere a quelle risorse per le quali sono state concesse le autorizzazioni a quello eliminato?

Aggiornare:

Sembra che non ci sia un modo semplice per aggiungere un SID alla cronologia SID di un utente o gruppo; almeno, sia ADUC che ADSIEdit non sono in grado di farlo. Se il trucco sopra descritto funziona, come può essere effettivamente realizzato?

active-directory  access-control-list  groups  sid 
Massimo
fonte
Non credo che tu possa farlo ... ma ciò detto, potresti prendere in considerazione la possibilità di rimuovere i membri da un gruppo e di annidare quello che contiene gli utenti all'interno dell'altro. Ciò dovrebbe permetterti di mantenere entrambi gli ACL e di funzionare ancora bene, presumo.
TheCleaner,
1
Siamo spiacenti, intendevo aggiungere ... che ti avrebbe permesso di aggiornare solo quello che aveva ancora membri rimanenti per le aggiunte / rimozione di utenti in quel gruppo. Prendi il gruppo che non ha membri e rinominalo in qualcosa del tipo "DEVE ESSERE VERIFICATO" - quindi potresti semplicemente notare che ogni volta che lo vedi (o esegui una query ACL per esso) per cambiarlo nel nidificato gruppo invece ... alla fine potresti rimuovere il gruppo "livello superiore" stesso.
TheCleaner
Questa è già la nostra situazione, i gruppi sono già stati nidificati. Ma vorremmo davvero sbarazzarci di un gruppo inutile.
Massimo

Risposte:

3

Non è possibile modificare l' SIDHistoryattributo in quanto è un attributo protetto.

Uno degli unici metodi supportati per farlo è l'utilizzo dello strumento di migrazione AD. Ci sono alcuni Powershell / script ma tutti richiederebbero che i gruppi risiedano in domini / foreste diversi.

L'unico modo in cui potresti riuscire a farlo è come specificato da TheCleaner. Il gruppo che si desidera utilizzare per spostare in avanti (gruppo 1) diventerebbe un membro del gruppo "legacy" (gruppo 2) in modo che tutti i membri del gruppo 1 siano membri del gruppo 2. Rimuovere quindi gli utenti dal gruppo 2 e aggiungi solo nuovi utenti al gruppo 1.

bit di host
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.