Mas*_*imo 10 active-directory groups access-control-list sid
我有两个错误创建的 AD 组,而应该只有一个组;它们包含完全相同的用户。但是,这些组已被分配了对各种资源(如文件共享)的各种权限,我无法跟踪所有这些资源并将它们重置为仅引用一个组。
如果我删除其中一个组并将其 SID 放在另一个组的 SID 历史记录中,我可以“合并”这两个组吗?这是否会允许剩余组的成员访问那些已授予已删除资源权限的资源?
看起来没有简单的方法可以将 SID 添加到用户或组的 SID 历史记录中;至少,ADUC 和 ADSIEdit 都无法做到这一点。如果上述技巧有效,这实际上如何实现?
您无法修改该SIDHistory属性,因为它是受保护的属性。
唯一受支持的方法之一是使用 AD 迁移工具。有一些 Powershell/脚本,但它们都要求这些组驻留在不同的域/林中。
能够实现此目的的唯一方法是 TheCleaner 指定的方法。您可以将要继续使用的组(组 1)设为“旧”组(组 2)的成员,以便组 1 的所有成员都是组 2 的成员。然后,您可以从组 2 中删除用户然后将新用户添加到组 1 中。
| 归档时间: |
|
| 查看次数: |
809 次 |
| 最近记录: |