Назад | Перейти на главную страницу

Как очистить потерянные SID в ACE в AD?

В ответ на мой вопрос Очистить обратные ссылки в AD для удаленных пользователей У меня есть еще один связанный, но другой вопрос.

Поскольку в ответах мне сообщили, что SID удаленного объекта (группа или пользователь, поэтому назначение прав группе только минимизирует проблему, но не устраняет ее) останется в назначенных им ACE, в результате чего они останутся сиротами.

В Lotus Domino, имеющем аналогичные проблемы с обратными ссылками, есть процесс adminp для очистки таких потерянных ссылок.

Есть ли в AD аналогичный процесс, который позволил бы вам очистить такие потерянные SID, плавающие в вашем домене?

Я не тестировал это, так что простите за мою превентивную публикацию (но у меня нет тестового домена и я не планирую тестировать его в производственной среде), но, возможно, вы ищете SUBINACL. Загрузить Вот

subinacl.exe / справка / cleandeletedsidsfrom обеспечивает следующее:

/ cleandeletedsidsfrom = домен [= dacl | sacl | owner | primarygroup | all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Похоже, вы можете использовать это с / samobject переключите, чтобы применить к пользователям или группам.

как насчет использования такого инструмента, как Security Explorer? Это похоже на проводник Windows на стероидах, который может централизованно находить и удалять потерянные идентификаторы безопасности для их очистки. www.securityexplorer.com.

Это один из аспектов инструмента, но DatAdvantage делает это и множество других системных функций управления файлами / каталогами и очистки.

Недавно я столкнулся с этой проблемой при работе с клиентом, и вместо того, чтобы просматривать всю оболочку PowerShell и другие вещи, с которыми у меня были проблемы, я написал быструю программу с графическим интерфейсом для удаления всех учетных записей-призраков. это намного проще. Пожалуйста, проверьте это на http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Я думаю, это намного проще и бесплатно.