¿Puedo "fusionar" dos grupos usando el historial SID?

10

Tengo dos grupos de AD que se crearon por error, mientras que en su lugar debería haber solo un grupo; Contienen exactamente los mismos usuarios. Sin embargo, a estos grupos se les han asignado varios permisos en varios recursos (como archivos compartidos), y no puedo rastrearlos y restablecerlos para referirme solo a un grupo.

¿Puedo "fusionar" los dos grupos si elimino uno de ellos y pongo su SID en el historial de SID del otro? ¿Esto permitirá a los miembros del grupo restante acceder a los recursos para los cuales se han otorgado permisos al eliminado?


Actualizar:

Parece que no hay una manera fácil de agregar un SID al historial de SID de un usuario o grupo; al menos, ADUC y ADSIEdit no pueden hacer esto. Si el truco descrito anteriormente funciona, ¿cómo se puede lograr esto?

Massimo
fuente
No creo que pueda hacer esto ... pero dicho esto, puede considerar eliminar a los miembros de un grupo y simplemente anidar el que contiene a los usuarios dentro del otro. Eso debería permitirle mantener ambas en ACL y seguir funcionando bien, supongo.
TheCleaner
1
Lo sentimos, significaba agregar ... eso le permitiría solo actualizar el que todavía tenía miembros restantes para agregar / eliminar usuarios en ese grupo. Tome el grupo que no tiene miembros y cámbiele el nombre a algo así como "NECESITA COMPROBAR"; luego, puede anotar que cada vez que vea esto (o ejecute una consulta de ACL) para cambiarlo a anidado grupo en su lugar ... eventualmente podría eliminar el grupo de "nivel superior" en sí.
TheCleaner
Esta ya es nuestra situación, los grupos ya han sido anidados. Pero realmente nos gustaría deshacernos de un grupo inútil.
Massimo

Respuestas:

3

No puede modificar el SIDHistoryatributo ya que es un atributo protegido.

Uno de los únicos métodos admitidos para hacerlo es usar la Herramienta de migración de AD. Hay algunos Powershell / scripts, pero todos requerirían que los grupos residan en diferentes dominios / bosques.

La única forma en que podría lograr esto es como lo especificó TheCleaner. Haría que el grupo que desea usar en adelante (grupo 1) sea miembro del grupo "heredado" (grupo 2) para que todos los miembros del grupo 1 sean miembros del grupo 2. Luego eliminaría a los usuarios del grupo 2 y solo agregue nuevos usuarios al grupo 1.

HostBits
fuente