Puis-je «fusionner» deux groupes à l'aide de l'historique SID?

10

J'ai deux groupes AD qui ont été créés par erreur alors qu'il n'aurait dû y avoir qu'un seul groupe; ils contiennent exactement les mêmes utilisateurs. Cependant, ces groupes ont reçu diverses autorisations sur les ressources variuos (comme les partages de fichiers), et je ne peux pas tous les suivre et les réinitialiser pour ne faire référence qu'à un seul groupe.

Puis-je "fusionner" les deux groupes si je supprime l'un d'eux et que je place son SID dans l'historique SID de l'autre? Cela permettra-t-il aux membres du groupe restant d'accéder aux ressources pour lesquelles des autorisations ont été accordées à celui supprimé?

Mettre à jour:

Il semble qu'il n'y ait pas de moyen simple d'ajouter un SID à l'historique SID d'un utilisateur ou d'un groupe; au moins, ADUC et ADSIEdit sont incapables de le faire. Si l'astuce décrite ci-dessus fonctionne, comment cela peut-il être réellement accompli?

active-directory access-control-list groups sid Massimo
la source
Je ne pense pas que vous puissiez faire cela ... mais cela dit, vous pouvez envisager de supprimer les membres d'un groupe et d'imbriquer simplement celui qui contient les utilisateurs dans l'autre. Cela devrait vous permettre de conserver les deux dans les listes de contrôle d'accès et de toujours fonctionner correctement, je présume.
TheCleaner
1
Désolé, destiné à ajouter ... cela vous permettrait d'avoir seulement à mettre à jour celui qui avait encore des membres pour ajouter / supprimer des utilisateurs de ce groupe. Prenez le groupe qui ne contient aucun membre et renommez-le en quelque chose comme "IL A BESOIN DE VÉRIFIER" - alors vous pouvez simplement noter que chaque fois que vous voyez ceci (ou exécutez une requête ACL pour cela) pour le changer en imbriqué groupe à la place ... vous pourriez éventuellement supprimer le groupe "de niveau supérieur" lui-même.
TheCleaner
C'est déjà notre situation, les groupes sont déjà imbriqués. Mais nous aimerions vraiment nous débarrasser d'un groupe inutile.
Massimo

Réponses:

3

Vous ne pouvez pas modifier l' SIDHistoryattribut car il s'agit d'un attribut protégé.

L'une des seules méthodes prises en charge pour ce faire est d'utiliser l'outil de migration AD. Il existe des scripts Powershell / mais tous exigeraient que les groupes résident dans différents domaines / forêts.

La seule façon de le faire est comme spécifié par TheCleaner. Vous feriez du groupe que vous souhaitez utiliser pour aller de l'avant (groupe 1) un membre du groupe "hérité" (groupe 2) afin que tous les membres du groupe 1 soient membres du groupe 2. Vous supprimeriez ensuite les utilisateurs du groupe 2 et ajoutez simplement de nouveaux utilisateurs au groupe 1.

HostBits
la source