Bisakah saya "menggabungkan" dua grup menggunakan riwayat SID?

10

Saya memiliki dua grup AD yang dibuat secara keliru sementara seharusnya hanya ada satu grup; mereka berisi pengguna yang sama persis. Namun, grup ini telah diberi berbagai izin pada sumber daya variuos (seperti berbagi file), dan saya tidak dapat melacak semuanya dan mengatur ulang untuk hanya merujuk ke satu grup.

Bisakah saya "menggabungkan" kedua grup jika saya menghapus salah satu dari mereka dan meletakkan SID-nya dalam sejarah SID yang lain? Apakah ini akan memungkinkan anggota grup yang tersisa untuk mengakses sumber daya yang izinnya telah diberikan kepada yang dihapus?

Memperbarui:

Sepertinya tidak ada cara mudah untuk menambahkan SID ke riwayat SID pengguna atau grup; setidaknya, baik ADUC dan ADSIEdit tidak dapat melakukan ini. Jika trik yang dijelaskan di atas berhasil, bagaimana ini bisa benar-benar tercapai?

active-directory access-control-list groups sid Massimo
sumber
Saya tidak percaya Anda bisa melakukan ini ... tapi itu mengatakan, Anda dapat mempertimbangkan untuk menghapus anggota dari satu grup dan hanya mengumpulkan yang berisi pengguna di dalam yang lain. Itu seharusnya memungkinkan Anda untuk tetap dalam ACL dan masih berfungsi ok, saya kira.
TheCleaner
1
Maaf, dimaksudkan untuk menambahkan ... yang akan memungkinkan Anda hanya perlu memperbarui yang masih memiliki anggota tersisa untuk menambah / menghapus pengguna dalam grup itu. Ambil grup yang tidak memiliki anggota di dalamnya dan ubah nama menjadi sesuatu seperti "ITU PERLU PERIKSA" - maka Anda bisa membuat catatan bahwa kapan saja Anda pernah melihat ini (atau menjalankan kueri ACL untuknya) untuk mengubahnya ke bersarang sebagai gantinya ... akhirnya Anda dapat menghapus grup "tingkat atas" itu sendiri.
TheCleaner
Ini sudah situasi kita, kelompok sudah bersarang. Tapi kami benar-benar ingin menyingkirkan satu kelompok yang tidak berguna.
Massimo

Jawaban:

3

Anda tidak dapat mengubah SIDHistoryatribut karena itu atribut yang dilindungi.

Salah satu satu-satunya metode yang didukung untuk melakukannya adalah menggunakan Alat Migrasi AD. Ada beberapa Powershell / skrip tetapi mereka semua akan mengharuskan kelompok berada di domain / hutan yang berbeda.

Satu-satunya cara Anda dapat mencapai ini adalah seperti yang ditentukan oleh TheCleaner. Anda akan membuat grup yang ingin Anda gunakan bergerak maju (grup 1) menjadi anggota grup "legacy" (grup 2) sehingga semua anggota grup 1 adalah anggota grup 2. Anda kemudian akan menghapus pengguna dari grup 2 dan tambahkan saja pengguna baru ke grup 1.

HostBits
sumber