如果我通过 Active Directory 用户和计算机 MMC 重命名安全组,该重命名是否会正确传播到使用该组的所有实例?
这意味着如果我有一个共享驱动器,并且该特定组具有访问权限,那么组名的更改是否会自动更改被授予该共享驱动器访问权限的组的名称?
显然,如果组名只在某个地方使用一次,那么问题就不大,但如果该组被使用了几十次,那么手动查找和重命名所有使用该组的情况就会非常耗费人力。
答案1
是的。名称是组的一个属性 - 任何合理使用它们的东西都不会使用名称,而是使用不会改变的底层 SID - AD 中对象的唯一键。
当然,有些第三方软件是由懒得询问 SID 和代码名称的人编写的。
答案2
https://support.microsoft.com/en-us/kb/2928800
症状
假设您重命名安全组或通讯组,然后通过编辑文件夹属性的“安全”选项卡向文件夹授予该组的权限。您登录运行 Windows 8.1、Windows Server 2012 R2、Windows 7 Service Pack 1 (SP1) 或 Windows Server 2008 R2 SP1 的计算机。在这种情况下,当您在文件夹属性的“安全”选项卡中检查系统访问控制列表 (SACL) 时,该组显示为“组名 (域名\name)”,这是无效的。我们期望该组为“组名 (域名\sAMAccountName)”。
注意 - Name 是组属性中 name 属性的占位符。 - sAMAccountName 是组属性中 sAMAccountName 属性的占位符。
原因 出现此问题的原因是,在 SACL 组显示功能中使用了错误的名称属性,而不是 sAMAccountName 属性。
解决方案要解决 Windows 8.1 和 Windows Server 2012 R2 中的此问题,请安装更新 2919355。
要解决 Windows 7 和 Windows Server 2008 R2 中的此问题,请安装本文中介绍的修补程序。