SIDの履歴を使用して2つのグループを「マージ」できますか?

10

誤って作成された2つのADグループがありますが、代わりに1つのグループしかありませんでした。まったく同じユーザーが含まれています。ただし、これらのグループにはvariuosリソース(ファイル共有など)に対するさまざまなアクセス許可が割り当てられており、すべてを追跡して1つのグループのみを参照するようにリセットすることはできません。

2つのグループのうちの1つを削除して、そのSIDをもう1つのグループのSID履歴に追加すると、2つのグループを「マージ」できますか?これにより、残りのグループのメンバーは、削除されたリソースに権限が付与されているリソースにアクセスできますか?

更新:

ユーザーまたはグループのSIDの履歴にSIDを追加する簡単な方法はないようです。少なくとも、ADUCとADSIEditの両方でこれを行うことはできません。上記のトリックが機能する場合、どのようにこれを実際に達成できますか?

active-directory  access-control-list  groups  sid 
マッシモ
ソース
私はあなたがこれを行うことができるとは思わない...しかしそれでも、1つのグループからメンバーを削除し、他のグループ内にユーザーを含むグループをネストすることを検討してもよい。そうすれば、両方をACLに保持し、引き続き正常に機能するはずです。
TheCleaner 2013
1
申し訳ありませんが、追加することを目的としています...そのグループのユーザーの追加/削除のためにメンバーが残っているもののみを更新する必要があります。メンバーのいないグループを取り、「IT NEEDS TO CHECK」のような名前に変更します。これが表示されたとき(またはそのACLクエリを実行したとき)にメモを作成して、ネストされたグループに変更できます。代わりにグループ...最終的には「トップレベル」グループ自体を削除できます。
TheCleaner 2013
これはすでに私たちの状況であり、グループはすでにネストされています。しかし、私たちは本当に1つの役に立たないグループを取り除きたいと思っています。
マッシモ

回答:

3

SIDHistory保護された属性であるため、属性を変更することはできません。

これをサポートする唯一の方法の1つは、AD移行ツールを使用することです。いくつかのPowershell /スクリプトがありますが、すべてグループが異なるドメイン/フォレストに存在する必要があります。

これを達成できる唯一の方法は、TheCleanerが指定したとおりです。次に使用するグループ(グループ1)を「レガシー」グループ(グループ2)のメンバーにして、グループ1のすべてのメンバーがグループ2のメンバーになるようにします。次に、グループ2からユーザーを削除します。新しいユーザーをグループ1に追加するだけです。

HostBits
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.