10 votos

¿Puedo "fusionar" dos grupos utilizando el historial del SID?

Tengo dos grupos de AD que fueron creados erróneamente cuando debería haber un solo grupo; contienen exactamente los mismos usuarios. Sin embargo, a estos grupos se les han asignado varios permisos sobre diversos recursos (como archivos compartidos), y no puedo rastrearlos todos y restablecerlos para que sólo se refieran a un grupo.

¿Puedo "fusionar" los dos grupos si borro uno de ellos y pongo su SID en el historial de SID del otro? ¿Permitirá esto a los miembros del grupo restante acceder a los recursos para los que se han concedido permisos al eliminado?


Actualización:

Parece que no hay una forma fácil de añadir un SID al historial de SIDs de un usuario o grupo; al menos, tanto ADUC como ADSIEdit son incapaces de hacerlo. Si el truco descrito anteriormente funciona, ¿cómo se puede lograr realmente?

0 votos

No creo que puedas hacer esto... pero dicho esto, puedes considerar eliminar los miembros de un grupo y simplemente anidar el que contiene los usuarios dentro del otro. Eso debería permitirte mantener ambos en ACLs y seguir funcionando bien, supongo.

1 votos

Lo siento, quería añadir... que le permitiría sólo tener que actualizar el que todavía tenía miembros restantes para las adiciones / eliminaciones de los usuarios en ese grupo. Tome el grupo que no tiene miembros en él y renómbrelo a algo así como "Necesita revisar" - entonces usted podría hacer una nota que cada vez que vea esto (o ejecute una consulta ACL para ello) para cambiarlo al grupo anidado en su lugar ... eventualmente podría eliminar el grupo de "nivel superior" en sí.

0 votos

Esta es ya nuestra situación, los grupos ya han sido anidados. Pero nos gustaría deshacernos de un grupo inútil.

3voto

Cheekaleak Puntos 10346

No se puede modificar el SIDHistory ya que es un atributo protegido.

Uno de los únicos métodos admitidos para hacerlo es el uso de la herramienta de migración de AD. Hay algunos Powershell/scripts pero todos ellos requieren que los grupos residan en diferentes dominios/bosques.

La única manera de conseguirlo es como ha especificado TheCleaner. Usted haría que el grupo que desea utilizar en adelante (grupo 1) fuera miembro del grupo "heredado" (grupo 2), de modo que todos los miembros del grupo 1 fueran miembros del grupo 2. A continuación, eliminaría los usuarios del grupo 2 y sólo añadiría nuevos usuarios al grupo 1.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: