SID履歴を使用して2つのグループを「マージ」できますか?
誤って作成されたADグループが2つありますが、代わりに1つのグループしか存在しないはずです。それらにはまったく同じユーザーが含まれています。ただし、これらのグループにはさまざまなリソース(ファイル共有など)に対するさまざまなアクセス許可が割り当てられており、すべてを追跡して1つのグループのみを参照するようにリセットすることはできません。
2つのグループの一方を削除し、そのSIDをもう一方のSID履歴に入れると、2つのグループを「マージ」できますか?これにより、残りのグループのメンバーは、削除されたリソースにアクセス許可が付与されているリソースにアクセスできますか?
更新:
ユーザーまたはグループのSID履歴にSIDを追加する簡単な方法はないようです。少なくとも、ADUCとADSIEditの両方がこれを行うことはできません。上記のトリックが機能する場合、これを実際にどのように達成できますか?
SIDHistory属性は保護された属性であるため、変更できません。
サポートされている唯一の方法の1つは、AD移行ツールを使用することです。いくつかのPowershell /スクリプトがありますが、それらはすべて、グループが異なるドメイン/フォレストに存在する必要があります。
これを達成できる唯一の方法は、TheCleanerが指定したとおりです。先に進むために使用するグループ(グループ1)を「レガシー」グループ(グループ2)のメンバーにして、グループ1のすべてのメンバーがグループ2のメンバーになるようにします。次に、ユーザーをグループ2から削除します。グループ1に新しいユーザーを追加するだけです。