Может ли конечный пользователь с помощью Forefront Identity Manager покинуть группу безопасности?

В нашей компании пользователи входят в систему с помощью AD и получают доступ к Sharepoint с помощью аутентификации Windows. Наши пользователи команды по изменению частоты. После того, как они сменили команду, их доступ к старому сайту группы Sharepoint должен быть удален. Sharepoint позволяет предоставлять разрешение группе безопасности AD. Следовательно, лучший способ управлять разрешениями - это предоставить сайт группы А группе безопасности группы А.

Однако наша команда обслуживания AD отказывается настраивать группы безопасности для каждой команды, потому что усилия по обслуживанию слишком велики (пользователи продолжают переключать группу). Является ли FIM решением, позволяющим пользователям, или их руководителю, или отделу кадров управлять изменением группы безопасности?

Помимо FIM, есть другое решение? Спасибо!