我有两个 AD 组,它们是错误创建的,而实际上应该只有一个组;它们包含完全相同的用户。但是,这些组被分配了各种资源(如文件共享)的各种权限,我无法跟踪所有这些权限并将它们重置为仅引用一个组。
如果我删除其中一个组并将其 SID 放入另一个组的 SID 历史记录中,是否可以“合并”这两个组?这是否会允许剩余组的成员访问已授予已删除组权限的资源?
更新:
看起来没有简单的方法可以将 SID 添加到用户或组的 SID 历史记录中;至少 ADUC 和 ADSIEdit 都无法做到这一点。如果上述技巧有效,那么如何才能真正实现呢?
答案1
您不能修改该SIDHistory属性,因为它是受保护的属性。
唯一支持的方法之一是使用 AD 迁移工具。有一些 Powershell/脚本,但它们都要求组位于不同的域/林中。
唯一能够实现这一点的方法就是 TheCleaner 所指出的。您需要将要继续使用的组(组 1)设为“旧”组(组 2)的成员,这样组 1 的所有成员都是组 2 的成员。然后,您需要从组 2 中删除用户,并将新用户添加到组 1。