Posso "mesclar" dois grupos usando o histórico do SID?

10

Eu tenho dois grupos de AD que foram criados erroneamente, enquanto deveria haver apenas um grupo; eles contêm exatamente os mesmos usuários. No entanto, esses grupos receberam várias permissões em recursos variuos (como compartilhamentos de arquivos), e não consigo rastrear todos eles e redefini-los para se referir apenas a um grupo.

Posso "mesclar" os dois grupos se excluir um deles e colocar seu SID no histórico do SID do outro? Isso permitirá que os membros do grupo restante acessem os recursos para os quais foram concedidas permissões ao excluído?

Atualizar:

Parece que não há uma maneira fácil de adicionar um SID ao histórico do SID de um usuário ou grupo; pelo menos, o ADUC e o ADSIEdit não conseguem fazer isso. Se o truque descrito acima funcionar, como isso pode ser realmente realizado?

active-directory access-control-list groups sid Massimo
fonte
Não acredito que você possa fazer isso ... mas, dito isso, considere remover os membros de um grupo e apenas aninhar aquele que contém os usuários dentro do outro. Isso deve permitir que você mantenha as duas ACLs e ainda funcione bem, eu presumo.
TheCleaner
1
Desculpe, pretendia adicionar ... isso permitiria que você apenas precisasse atualizar o que ainda tinha membros restantes para adicionar / remover usuários nesse grupo. Pegue o grupo que não possui membros e renomeie-o para algo como "É NECESSÁRIO VERIFICAR" - você pode apenas observar que sempre que vê isso (ou executa uma consulta ACL) para alterá-lo para o aninhado grupo em vez disso ... eventualmente, você pode remover o próprio grupo "de nível superior".
TheCleaner
Essa já é a nossa situação, os grupos já foram aninhados. Mas nós realmente gostaríamos de nos livrar de um grupo inútil.
Massimo

Respostas:

3

Você não pode modificar o SIDHistoryatributo, pois é um atributo protegido.

Um dos únicos métodos suportados para fazer isso é usar a Ferramenta de Migração do AD. Existem alguns scripts do Powershell, mas todos exigiriam que os grupos residissem em diferentes domínios / florestas.

A única maneira de conseguir isso é como o TheCleaner especificou. Você tornaria o grupo que deseja usar avançando (grupo 1) um membro do grupo "herdado" (grupo 2), para que todos os membros do grupo 1 sejam membros do grupo 2. Em seguida, você removeria os usuários do grupo 2 e adicione novos usuários ao grupo 1.

HostBits
fonte