SID 기록을 사용하여 두 그룹을 "병합"할 수 있습니까?

10

대신 하나의 그룹 만 있어야했지만 두 개의 AD 그룹이 잘못 생성되었습니다. 그들은 정확히 같은 사용자를 포함합니다. 그러나이 그룹에는 variuos 리소스 (예 : 파일 공유)에 대한 다양한 권한이 할당되어 있으며 모든 그룹을 추적 할 수 없으며 한 그룹 만 참조하도록 재설정 할 수 없습니다.

두 그룹 중 하나를 삭제하고 다른 그룹의 SID 기록에 SID를 넣으면 두 그룹을 "병합"할 수 있습니까? 이렇게하면 나머지 그룹의 구성원이 삭제 된 권한이 부여 된 자원에 액세스 할 수 있습니까?

최신 정보:

사용자 또는 그룹의 SID 기록에 SID를 쉽게 추가 할 수있는 방법이없는 것 같습니다. 적어도 ADUC와 ADSIEdit은이 작업을 수행 할 수 없습니다. 위에서 설명한 트릭이 작동하면 실제로 어떻게 달성 할 수 있습니까?

active-directory  access-control-list  groups  sid 
마시모
소스
나는 당신이 이것을 할 수 있다고 생각하지 않습니다 ...하지만 그것은 한 그룹에서 구성원을 제거하고 다른 그룹 안에 사용자를 포함하는 그룹을 중첩시키는 것을 고려할 수 있습니다. ACL을 모두 유지하면서도 정상적으로 작동 할 수 있어야합니다.
TheCleaner
1
죄송합니다. 추가하려면 해당 그룹의 사용자 추가 / 삭제를 위해 멤버가 남아있는 멤버 만 업데이트하면됩니다. 구성원이없는 그룹을 가져 와서 "IT NEEDS TO CHECK"와 같이 이름을 바꿉니다. 그러면 언제든지 이것을 보거나 ACL 쿼리를 실행하여 중첩 된 것으로 변경할 수 있습니다. 대신 "최상위"그룹 자체를 제거 할 수 있습니다.
TheCleaner
이것은 이미 우리의 상황이며, 그룹은 이미 중첩되어 있습니다. 그러나 우리는 쓸모없는 그룹을 제거하고 싶습니다.
Massimo

답변:

3

SIDHistory보호 된 속성이므로 속성을 수정할 수 없습니다 .

지원되는 유일한 방법 중 하나는 AD 마이그레이션 도구를 사용하는 것입니다. 일부 Powershell / 스크립트가 있지만 모두 그룹이 다른 도메인 / 포리스트에 있어야합니다.

이 작업을 수행 할 수있는 유일한 방법은 TheCleaner가 지정한대로입니다. 앞으로 이동하려는 그룹 (그룹 1)을 "레거시"그룹 (그룹 2)의 구성원으로 만들어 그룹 1의 모든 구성원이 그룹 2의 구성원이되도록합니다. 그런 다음 그룹 2에서 사용자를 제거합니다. 그룹 1에 새 사용자를 추가하면됩니다.

호스트 비트
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.