Поэтому наши аудиторы безопасности прислали мне электронное письмо, в котором указывалось, что в группе администраторов одного из наших серверов есть несколько групп и учетных записей AD, которые не должны иметь административного доступа к рассматриваемой машине. Когда я захожу в Управление компьютером -> Группы -> Администраторы, я не вижу ни одной из указанных учетных записей, но вижу много таких записей, как:
S-1-5-21-484763869-823518204-83922115-105014
Это на машине Windows Server 2000. Очевидно, должен быть способ получить список учетных записей в виде обычного текста, поскольку аудиторы прислали мне электронную таблицу со списком учетных записей на каждой машине, но я не уверен, как правильно отобразить их на экране, где я могу добавить / удалить аккаунты из группы.
Вы видите SID (идентификатор безопасности) объекта. Как правило, Windows достаточно хороша, чтобы автоматически преобразовывать этот SID в отображаемое имя пользователя для вас в диалоговом окне «Безопасность», так что вам не нужно его искать, но если с контроллером домена невозможно связаться, когда ACL просмотрено, вы увидите SID. Вы также увидите этот SID, если пользователь / группа / компьютер больше не существует в Active Directory.
Если вы видите сочетание SID и отображаемых имен, вероятно, вы видите что-то, что было удалено в AD. Если вы просматриваете полный список только SID, значит, что-то не так с вашей средой служб каталогов, и вам следует выяснить, почему этот сервер не может связаться с DC, чтобы показать вам этот перевод. Возможно, у вас отключен контроллер домена или возникла проблема с сетью.
Однако SID - это атрибут с возможностью поиска. Таким образом, вы можете запрашивать AD с помощью оснастки ADUC, PowerShell или любого другого метода, с которым вы, возможно, уже знакомы.