Posso “mesclar” dois grupos usando o histórico SID?

10

Eu tenho dois grupos de AD que foram criados erroneamente enquanto deveria haver apenas um grupo; eles contêm exatamente os mesmos usuários. No entanto, esses grupos receberam várias permissões em vários recursos (como compartilhamentos de arquivos), e não consigo controlar todos eles e redefini-los para se referir a apenas um grupo.

Posso "mesclar" os dois grupos se eu excluir um deles e colocar seu SID no histórico do SID do outro? Isso permitirá que os membros do grupo restante acessem os recursos para os quais as permissões foram concedidas à pessoa excluída?

Atualização:

Parece que não há uma maneira fácil de adicionar um SID ao histórico do SID de um usuário ou grupo; pelo menos, tanto o ADUC quanto o ADSIEdit são incapazes de fazer isso. Se o truque descrito acima funcionar, como isso pode ser realmente realizado?

    
por Massimo 04.12.2013 / 22:36

1 resposta

3

Você não pode modificar o atributo SIDHistory , pois é um atributo protegido.

Um dos únicos métodos suportados para isso é usar a Ferramenta de migração do AD. Existem alguns scripts / Powershell, mas todos exigem que os grupos residam em domínios / florestas diferentes.

A única maneira de conseguir isso é como TheCleaner especificou. Você faria com que o grupo que você deseja usar fosse adiante (grupo 1) como membro do grupo "legado" (grupo 2) para que todos os membros do grupo 1 sejam membros do grupo 2. Você removeria os usuários do grupo 2 e apenas adicionar novos usuários ao grupo 1.

    
por 04.12.2013 / 23:33