Нередко можно увидеть записи в списках управления доступом Windows (файлы / папки NTFS, реестр, объекты AD и т. Д.) С именем «Неизвестная учетная запись (SID)». Очевидно, это связано с тем, что старые пользователи или группы AD в какой-то момент имели разрешения, вручную настроенные для соответствующего объекта, и с тех пор были удалены.
Кто-нибудь знает, безопасно ли удалять эти ACE "Account Unknown"?
Я чувствую, что все должно быть в порядке, но мне интересно, есть ли у кого-нибудь в прошлом опыт, когда это вызывало проблемы?
Обычно я просто игнорирую их, но у компании, в которой я сейчас работаю, их ненормальное количество, скорее всего, из-за неопытности прошлых администраторов с AD / Windows и назначения разрешений учетным записям пользователей, а не группам во всевозможных странных вещах. места.
FWIW, наша среда не сложная, лес с одним доменом, 4 контроллера домена на 3 сайтах, все сетевое подключение и репликация исправны, поэтому я уверен, что эти записи "Account Unknown" действительно старые учетные записи, и не только из-за некоторых невозможность преобразовать SID в удобочитаемое имя.
Да, если у вас нет проблем с подключением, их можно безопасно удалить. Будьте осторожны, потому что Windows покажет «Неизвестная учетная запись», если не может подключиться к AD, или если у вас несколько доменов, может потребоваться некоторое время, чтобы пересечь границы домена и т. Д.
сделайте резервную копию и продолжайте.
Предполагая, что у вас нет доверительных отношений с другими доменами, и, как указывалось ранее, возникли проблемы с сетевым подключением.
вы можете сделать резервную копию списков ACL с помощью xcacls.exe или icacls.exe (Vista и более поздние версии). Они могут быть в таком формате, что вы можете скопировать их и повторно применить.