<div dir="ltr"><div><div><div>Hello list,<br><br></div>I have a OrgType -> AD Group projection, with construction and entitlement association all done in a single Meta Role. This works, the groups are created and the Org Members are added to the group.<br><br></div>However, if the AD user account already is a member of any other group, its not added to the Org AD Group. And if I remove a user account from the AD group from within Windows Server, Midpoint does not create the association again. It's behaving like a weak mapping.<br></div>How do I make Midpoint enforce the group membership? The association definition has tolerant attribute set to FALSE . I've tried setting assignmentPolicyEnforcement to FULL for the resource, it does not work either.<br></div>