Posso “mesclar” dois grupos usando o histórico SID?

Question

Posso “mesclar” dois grupos usando o histórico SID?

#1 resposta do (3 votos)

10

Eu tenho dois grupos de AD que foram criados erroneamente enquanto deveria haver apenas um grupo; eles contêm exatamente os mesmos usuários. No entanto, esses grupos receberam várias permissões em vários recursos (como compartilhamentos de arquivos), e não consigo controlar todos eles e redefini-los para se referir a apenas um grupo.

Posso "mesclar" os dois grupos se eu excluir um deles e colocar seu SID no histórico do SID do outro? Isso permitirá que os membros do grupo restante acessem os recursos para os quais as permissões foram concedidas à pessoa excluída?

Atualização:

Parece que não há uma maneira fácil de adicionar um SID ao histórico do SID de um usuário ou grupo; pelo menos, tanto o ADUC quanto o ADSIEdit são incapazes de fazer isso. Se o truque descrito acima funcionar, como isso pode ser realmente realizado?

groups active-directory access-control-list sid

por Massimo 04.12.2013 / 22:36

1 resposta

Tags groups active-directory access-control-list sid

Incompatibilidade de VLAN nativa e falta de VLAN? Substituição do SharePoint

score 3 · Answer 1

Você não pode modificar o atributo SIDHistory , pois é um atributo protegido.

Um dos únicos métodos suportados para isso é usar a Ferramenta de migração do AD. Existem alguns scripts / Powershell, mas todos exigem que os grupos residam em domínios / florestas diferentes.

A única maneira de conseguir isso é como TheCleaner especificou. Você faria com que o grupo que você deseja usar fosse adiante (grupo 1) como membro do grupo "legado" (grupo 2) para que todos os membros do grupo 1 sejam membros do grupo 2. Você removeria os usuários do grupo 2 e apenas adicionar novos usuários ao grupo 1.