Saya memiliki dua grup AD yang dibuat secara keliru sementara seharusnya hanya ada satu grup; mereka berisi pengguna yang sama persis. Namun, grup ini telah diberi berbagai izin pada sumber daya variuos (seperti berbagi file), dan saya tidak dapat melacak semuanya dan mengatur ulang untuk hanya merujuk ke satu grup.
Bisakah saya "menggabungkan" kedua grup jika saya menghapus salah satu dari mereka dan meletakkan SID-nya dalam sejarah SID yang lain? Apakah ini akan memungkinkan anggota grup yang tersisa untuk mengakses sumber daya yang izinnya telah diberikan kepada yang dihapus?
Memperbarui:
Sepertinya tidak ada cara mudah untuk menambahkan SID ke riwayat SID pengguna atau grup; setidaknya, baik ADUC dan ADSIEdit tidak dapat melakukan ini. Jika trik yang dijelaskan di atas berhasil, bagaimana ini bisa benar-benar tercapai?
Jawaban:
Anda tidak dapat mengubah
SIDHistory
atribut karena itu atribut yang dilindungi.Salah satu satu-satunya metode yang didukung untuk melakukannya adalah menggunakan Alat Migrasi AD. Ada beberapa Powershell / skrip tetapi mereka semua akan mengharuskan kelompok berada di domain / hutan yang berbeda.
Satu-satunya cara Anda dapat mencapai ini adalah seperti yang ditentukan oleh TheCleaner. Anda akan membuat grup yang ingin Anda gunakan bergerak maju (grup 1) menjadi anggota grup "legacy" (grup 2) sehingga semua anggota grup 1 adalah anggota grup 2. Anda kemudian akan menghapus pengguna dari grup 2 dan tambahkan saja pengguna baru ke grup 1.
sumber