У мене є дві групи AD, які були помилково створені, а натомість мала бути лише одна група; вони містять таких самих користувачів. Однак цим групам призначаються різні дозволи на різні варіанти ресурсів (наприклад, спільні файли), і я не в змозі відстежувати їх і скидати їх лише на одну групу.
Чи можу я "об'єднати" дві групи, якщо видалити одну з них і ввести її SID в історію SID іншої? Чи дозволить це членам групи, що залишилася, отримувати доступ до тих ресурсів, для яких видалено дозволи видаленому?
Оновлення:
Схоже, немає простого способу додати SID до історії SID користувача або групи; принаймні, і ADUC, і ADSIEdit не можуть цього зробити. Якщо описаний вище трюк працює, як це можна реально здійснити?
Я не вірю, що ви можете це зробити ... але, маючи на увазі, ви можете розглянути можливість видалення членів з однієї групи та просто вкладення того, який містить користувачів всередині іншої. Я б припускав, що ви можете зберігати як ACL, так і функціонувати нормально.
—
TheCleaner
Вибачте, маю на увазі додати ..., що дозволить вам лише оновити той, у якого ще залишилися члени для додавання / видалення користувачів у цій групі. Візьміть групу, яка не має членів, і перейменуйте її на щось на кшталт "НЕОБХІДНО ВИПРАВИТИ" - тоді ви можете просто зауважити, що коли-небудь ви побачите це (або запустіть ACL-запит для цього), щоб змінити його на вкладене замість цього ... зрештою, ви могли б видалити групу "вищого рівня".
—
TheCleaner
Це вже наша ситуація, групи вже вкладені. Але ми б дуже хотіли позбутися однієї марної групи.
—
Массімо