Por que não podemos alterar diretamente um grupo do escopo global para o domínio local ou vice-versa?

Question

Por que não podemos alterar diretamente um grupo do escopo global para o domínio local ou vice-versa?

#1 resposta do (5 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)

4

Se precisarmos alterar o escopo de um grupo de global para domínio local ou vice-versa, primeiro precisamos alterá-lo para Universal. Qual é o motivo disso?

active-directory

por Goku 23.06.2015 / 17:23

3 respostas

1

Você ainda pode fazer isso, já que o grupo ainda não tem nenhuma associação conflitante. Você pode convertê-lo em universal e voltar ao domínio local.

por 01.08.2017 / 18:06

0

Isso me deixou preso por um minuto também. A solução a seguir funcionou para mim:

Set-ADGroup -Identity (FolderName) -GroupScope Domainlocal

por 27.07.2017 / 19:19

Tags active-directory

Não é possível ativar o mpm_prefork com o Apache 2.4 no Ubuntu 14.04 randomização do número de seqüência TCP

score 5 · Accepted Answer

Suponho que você não pode fazer isso, porque algumas verificações devem ser feitas. Por exemplo, se o escopo do grupo for Domínio Local e contiver entidades estrangeiras (ou seja, contas da floresta externa do AD), a conversão não será possível:

Outra razão pode ser que a interface do usuário e as APIs sejam bem antigas e a Microsoft tenha decidido não adicionar novas funcionalidades - quem sabe (:

ATUALIZAÇÃO: Eu testei o escopo do grupo em mudança com o PowerShell:

Get-ADGroup testgroup | Set-ADGroup -GroupScope Global

O resultado é semelhante:

Set-ADGroup : The request is not supported

Então, na verdade, a verificação é executada pelo controlador de domínio, que retorna o erro 50 (0x32) - ERROR_NOT_SUPPORTED.

Isso significa para mim - não há essa funcionalidade embutida, porque na maioria dos casos a conversão espera trabalho manual, ou seja, remover entidades estrangeiras, etc.