我可以使用SID历史记录“合并”两个组吗?

10

我有两个错误创建的广告组,而应该只有一个组。他们包含完全相同的用户。但是,已经为这些组分配了各种资源(如文件共享)的权限,我无法跟踪所有组并将它们重置为仅引用一个组。

如果删除其中两个组并将其SID放在另一组的SID历史记录中,是否可以“合并”这两个组?这是否将允许其余组的成员访问已为其授予已删除权限的资源?

更新:

似乎没有简单的方法可以将SID添加到用户或组的SID历史记录中。至少,ADUC和ADSIEdit均无法执行此操作。如果上述技巧有效,那么如何实际完成呢?

active-directory  access-control-list  groups  sid 
马西莫
source
我不相信您可以执行此操作...但是,也就是说,您可以考虑从一个组中删除成员,而只是将包含用户的一个嵌套在另一个组中。我想这应该允许您同时保留ACL并仍然可以正常运行。
TheCleaner 2013年
1
抱歉,要添加...这将使您仅需更新仍要保留成员以添加或删除该组用户的成员。将没有成员的组重命名为“需要检查”之类的名称-然后您只要在任何时候看到它(或对其进行ACL查询)便可以将其更改为嵌套即可组...最终,您可以删除“顶层”组本身。
TheCleaner 2013年
这已经是我们的情况,组已经嵌套。但是我们真的想摆脱一个无用的小组。
Massimo 2013年

Answers:

3

您无法修改SIDHistory属性,因为它是受保护的属性。

这样做的唯一受支持的方法之一是使用AD迁移工具。有一些Powershell /脚本,但是它们都要求组位于不同的域/林中。

您能够完成此操作的唯一方法是按照TheCleaner指定。您将使要使用的组(组1)成为“旧版”组(组2)的成员,以使组1的所有成员都成为组2的成员。然后从组2中删除用户。并将新用户添加到组1中。

主机位
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.