Допустим, у вас есть пользователь в AD. Со временем они получают всевозможные права. Они также получают доступ к ресурсам в удаленном домене, который доверяет вашему домену.
Затем они покидают компанию, а вы удаляете их объект. Удаленный объект становится объектом-надгробием, который предназначен для сохранения идентификатора безопасности на случай, если вы захотите «восстановить» его, вроде того.
Так что же происходит с ACE, в которых указан их SID? Я предполагаю, что внутри домена после истечения срока действия надгробия его очистят. Ведь в конце концов, какой смысл сохранять SID, если все ссылки на него уже ушли.
Что происходит с ACE в удаленном доверяющем домене? Как он очищает потерянные SID в ACE и так далее?
Так что же происходит с ACE, в которых указан их SID?
Любой ACL, содержащий ACE для удаленного пользователя, будет отображать потерянный SID вместо имени пользователя. Этот ACE будет не быть удаленным после срок службы надгробия.
Я предполагаю, что внутри домена после истечения срока действия надгробия оно будет очищено. Ведь какой смысл сохранять SID, если все ссылки на него уже ушли.
Сам ACE является явной ссылкой на SID. ACE потерянного SID останется "навсегда" в ACL, если не будет удален.
Что происходит с ACE в удаленном доверяющем домене? Как он очищает потерянные SID в ACE и так далее?
Та же ситуация, что и выше. Мне известно, что не существует автоматической «очистки».
Эта «проблема» - одна из многих причин для предоставления разрешений / делегирования. на группу скорее, чем на пользователя для почти всего. Когда пользователи покидают компанию, вы удаляете их объект пользователя. Предоставить им замену одинаковые разрешения во всем домене так же просто, как добавить нового сотрудника в существующую группу.