Modification de l’étendue ou du type d’un groupe

La modification d’une étendue ou du type d’un groupe n’est pas autorisée dans les domaines en mode mixte. Toutefois, les conversions suivantes sont autorisées dans les domaines en mode natif :

Groupe local de domaine en groupe universel : le groupe local de domaine converti ne peut pas contenir un autre groupe local de domaine ou des membres d'une autre forêt, qui existent dans le domaine en tant que principaux de sécurité étrangers (FSP).

Groupe global vers groupe universel : cette opération n'est autorisée que si le groupe global n'est pas membre d'un autre groupe global.

Groupe universel en groupe global ou local de domaine : pour la conversion en groupe global, le groupe universel converti ne peut pas contenir d'utilisateurs ou de groupes globaux d'un autre domaine. Pour la conversion en groupe local de domaine, le groupe universel converti ne peut pas être membre d'un groupe universel ou d'un groupe local de domaine d'un autre domaine.

Vous ne pouvez passer d'un groupe global à un groupe local de domaine et vice versa que par l'intermédiaire d'un groupe universel. Il s’agit d’étapes distinctes, et les restrictions susmentionnées s’appliquent à chaque fois.

Remarque : lorsqu’un groupe global ou universel est converti en groupe local de domaine, le Sid de ce groupe est uniquement dans les jetons d’accès sur les membres du groupe où se trouve le domaine. Si ce Sid était utilisé dans des listes de contrôle d'accès sur des machines dans d'autres domaines, l'utilisateur n'obtiendrait qu'un accès autorisé comme s'il n'était pas membre du groupe.

En mode natif, un type de groupe peut être converti librement entre les groupes de sécurité et les groupes de distribution.

Sachez que si un groupe est utilisé pour définir le contrôle d'accès, la modification de l'étendue ou du type peut affecter les entrées de contrôle d'accès (ACE) qui contiennent ce groupe. Le système de sécurité ignore les ACE qui contiennent des groupes qui ne sont pas des groupes de sécurité.