首先我很抱歉沒有很好地表達這個問題，因為Google很難。（嘗試在其中找到包含“自我使用者組”一詞的 Google 答案。）

通常，在 Linux 中使用 PAM，當您創建使用者“foo”時，該useradd命令也會創建一個名為 ass 的組foo，並且該使用者將是該組的唯一成員。

但是，使用 ActiveDirectory，一旦您創建了一個名為“foo”的使用者帳戶，您就不能同時創建一個名為“foo”的安全組。

這給我們的 OpenLDAP -> AD 轉換帶來了問題，因為我們曾經在 LDAP 中有使用者組來鏡像他們的帳戶。我想我不反對取消這種做法，但這意味著我們有大量的文件系統清理工作要做。

編輯

如果不清楚，問題是：當您的授權/身份驗證後端是由 ActiveDirectory 支持的 LDAP 時，如何讓使用者成為他們自己組的唯一成員？如果您不了解這些概念，那麼您就沒有必要否決這個問題，因為它與 Unix非常相關，並且確實是 StackExchange Unix 的主題。

幾年前，當我們進行 OpenLDAP->AD 遷移時，我們也經歷了同樣的事情。我們從未找到解決方案，但我們也發現這只是群體在 AD 中變得時髦的幾種方式中的第一種。我們選擇進行文件系統清理，因為一旦您進行轉換，所有 uid 和 gid 都會發生變化，這意味著無論如何您都必須重做所有 Unix 權限。

如果您需要有關遷移的更多幫助/建議，請隨時直接與我聯繫。

引用自：https://unix.stackexchange.com/questions/252373