У меня следующая проблема.
В настоящее время у нас есть пользователь AD, который был определен как локальный администратор для некоторых подразделений Active Directory. А пока концепция, которую мы придумали в то время, устарела, так как имеет некоторые недостатки.
Чтобы упростить администрирование, теперь мы хотели бы разделить его таким образом, чтобы для каждой отдельной OU был отдельный пользователь-администратор.
OU1 -> учетная запись AD «Admin1»
OU2 -> учетная запись AD «Admin2»
и т.д.
Поскольку пользователь входил в систему на нескольких ПК/ноутбуках, а также для этого пользователя были настроены некоторые программы, мы не хотели бы потерять сделанные до сих пор настройки (Реестр, в файловой системе Windows и т. д.) и поэтому хотим начать полностью с нуля.
Я наткнулся на инструмент ForensiT, который также предлагает возможность миграции пользователей.
После прочтения документации я не уверен, что инструмент может разделить пользователя на разных пользователей и настроить objectSID на выбранных ПК, чтобы настройки предыдущего пользователя-администратора были переданы новому пользователю-администратору AD.
Возможно, вы могли бы сделать это таким образом, что вы сначала определяете пользователя для определенной OU как локального (через ForensiT), затем вы поднимаете пользователя там снова в AD через ForensiT, но позволяете корректировать SID в процессе. Таким образом, новому пользователю должен быть назначен новый SID в AD и на затронутых клиентах OU.
Может ли это работать?
Кто-нибудь здесь когда-нибудь сталкивался с подобной проблемой и смог ее решить? Возможно, есть другие инструменты или встроенные ресурсы Windows, которые могли бы реализовать эту задачу.
Буду признателен за любую помощь.
С уважением
Томас
