Remove sIDHistory

Hallo zusammen,

Die sIDHistory wird ja in Migrationsszenarien verwendet um mit dem neuen Benutzer auf Ressourcen in der alten Domain zugreifen zu können.

Versucht man das Attribut sIDHistory im AD zu ändern...

...erhält man ein "Access denied"

Dies ist auch in ADSI Edit so.

Fazit: Das Attribut sIDHistory lässt sich weder in "ADSI Edit" noch in "Active Directory Users and Computers" bearbeiten. Und das, obwohl der Account Miglied von "Schema Admins, Enterprise Admins, Domain Admins" ist, wie der folgende Befehl zeigt:

gpresult /r

Wie man aber das sIDHistory Attribut nach der Migration wieder loswird, wird mit den folgenden Powershell befehlen gezeigt.

Add-PSSnapin quest.activeroles.admanagement

Get-QADUser -Identity "test01" -IncludeAllProperties | fl *sid*
Get-QADUser -Identity "test01" | Set-QADUser -ObjectAttributes @{sIDHistory=$NULL}

Get-QADUser -Identity "test01" | %{Set-QADUser $_ -ObjectAttributes @{sIDHistory=@{delete=$_['sIDHistory']}}}

Grüsse
Andres Bohren