대신 하나의 그룹 만 있어야했지만 두 개의 AD 그룹이 잘못 생성되었습니다. 그들은 정확히 같은 사용자를 포함합니다. 그러나이 그룹에는 variuos 리소스 (예 : 파일 공유)에 대한 다양한 권한이 할당되어 있으며 모든 그룹을 추적 할 수 없으며 한 그룹 만 참조하도록 재설정 할 수 없습니다.
두 그룹 중 하나를 삭제하고 다른 그룹의 SID 기록에 SID를 넣으면 두 그룹을 “병합”할 수 있습니까? 이렇게하면 나머지 그룹의 구성원이 삭제 된 권한이 부여 된 자원에 액세스 할 수 있습니까?
최신 정보:
사용자 또는 그룹의 SID 기록에 SID를 쉽게 추가 할 수있는 방법이없는 것 같습니다. 적어도 ADUC와 ADSIEdit은이 작업을 수행 할 수 없습니다. 위에서 설명한 트릭이 작동하면 실제로 어떻게 달성 할 수 있습니까?
답변
SIDHistory보호 된 속성이므로 속성을 수정할 수 없습니다 .
지원되는 유일한 방법 중 하나는 AD 마이그레이션 도구를 사용하는 것입니다. 일부 Powershell / 스크립트가 있지만 모두 그룹이 다른 도메인 / 포리스트에 있어야합니다.
이 작업을 수행 할 수있는 유일한 방법은 TheCleaner가 지정한대로입니다. 앞으로 이동하려는 그룹 (그룹 1)을 “레거시”그룹 (그룹 2)의 구성원으로 만들어 그룹 1의 모든 구성원이 그룹 2의 구성원이되도록합니다. 그런 다음 그룹 2에서 사용자를 제거합니다. 그룹 1에 새 사용자를 추가하면됩니다.