Я вижу группы, которые содержат текущую или предыдущую SidHistory для пользователя в большом сложном лесу AD с множеством доменов.
Можно ли посмотреть на первую половину SidHistory и определить, из какого Дерева или Домена возникла конкретная запись Sid?
Ожидается ли такое поведение? В каких условиях?
Следует ли как-то очистить эти группы с устаревшими Сидами? (или не)
Можно ли посмотреть на первую половину SidHistory и определить, из какого Дерева или Домена возникла конкретная запись Sid?
Предположим, что домен A - ваш исходный домен, а домен B - ваш целевой домен. Если учетная запись переносится с историей SID, перенесенная учетная запись в домене B будет иметь атрибут, содержащий SID исходной учетной записи из домена A.
Ожидается ли такое поведение? В каких условиях?
Как сказано выше, если учетная запись переносится с историей SID
Следует ли как-то очистить эти группы с устаревшими Сидами? (или не)
Вы можете использовать метод сценария для удаления атрибута истории Sid.
Можно ли посмотреть на первую половину SidHistory и определить, из какого Дерева или Домена возникла конкретная запись Sid?
Как правило, не. SIDHistory SID обычно поступают из доменов, которые были перенесены и, надеюсь, больше не существуют. Если они действительно существуют, вы можете попробовать запустить Sysinternals psgetsid.exe [SID], чтобы увидеть, решает ли он что-то.
Ожидается ли такое поведение? В каких условиях?
Да, когда ваша организация выполнила миграцию, в результате которой были созданы SIDHistory SID.
Следует ли как-то очистить эти группы с устаревшими Сидами?
Да, это концепция.