Tengo dos grupos de AD que se crearon por error, mientras que en su lugar debería haber solo un grupo; Contienen exactamente los mismos usuarios. Sin embargo, a estos grupos se les han asignado varios permisos en varios recursos (como archivos compartidos), y no puedo rastrearlos y restablecerlos para referirme solo a un grupo.
¿Puedo "fusionar" los dos grupos si elimino uno de ellos y pongo su SID en el historial de SID del otro? ¿Esto permitirá a los miembros del grupo restante acceder a los recursos para los cuales se han otorgado permisos al eliminado?
Actualizar:
Parece que no hay una manera fácil de agregar un SID al historial de SID de un usuario o grupo; al menos, ADUC y ADSIEdit no pueden hacer esto. Si el truco descrito anteriormente funciona, ¿cómo se puede lograr esto?
Respuestas:
No puede modificar el
SIDHistory
atributo ya que es un atributo protegido.Uno de los únicos métodos admitidos para hacerlo es usar la Herramienta de migración de AD. Hay algunos Powershell / scripts, pero todos requerirían que los grupos residan en diferentes dominios / bosques.
La única forma en que podría lograr esto es como lo especificó TheCleaner. Haría que el grupo que desea usar en adelante (grupo 1) sea miembro del grupo "heredado" (grupo 2) para que todos los miembros del grupo 1 sean miembros del grupo 2. Luego eliminaría a los usuarios del grupo 2 y solo agregue nuevos usuarios al grupo 1.
fuente