如何合併兩個 AD 組？

我們的 AD 後端有一些草率地創建的組。我們有幾個域被合併，並與類似的組結束……

“財政援助” “財政援助” “FA”

等等…我想鞏固這些組，而不破壞每個人的網路訪問。

一些文件夾被授予一個組或另一個組的權限，我想對某些共享的文件夾進行全域“查找和替換權限”掃描。

例子：

folder1 has full access to "Financial Aid"
folder2 has read for "FA"

我想創建一個新組：

folder1 has full access for "Financial_Aid"
folder2 has read for "Financial_Aid"

…或者只是將一個組“合併”到另一個組中：

folder1 has full access for "Financial Aid"
folder2 has read for "Financial Aid"

任何指針？不怕在 powershell 或 python 中探勘，只是好奇是否有人有相關連結可以看到這個完成，以及需要注意的問題……

不幸的是，您可能不得不手動執行很多操作。文件系統權限和網路共享權限僅在本地儲存組的 SID 和分配的權限。域控制器只告訴伺服器誰在哪個組中……並驗證使用者是他們所說的那個人。

這意味著…是您必須直接對每個伺服器進行權限更改…您可以使用命令行工具“cacls”為文件系統權限編寫很多腳本…以及用於調整共享權限的“net share”命令……但最終，這比理想情況要低 100%……並且最終可能會給錯誤的人提供太多權限。

現在不是重新開始並設置一個新的干淨組的好時機……並將適當的使用者放在這些組中……並對適當的共享和文件設置全面的權限？這樣，您就可以完全消除“貝蒂甦應該能夠訪問院長的個人文件”類型的情況。

引用自：https://serverfault.com/questions/306987