Возможный дубликат:
Безопасно ли удалять записи «Неизвестная учетная запись» из списков управления доступом Windows в среде домена?
Недавно я заметил, что все объекты в моей Active Directory имеют два странных списка на вкладке «Безопасность»:
Аккаунт неизвестен (S-1-5-21 - ######### - ######### - ######### - 1835)
Аккаунт неизвестен (S-1-5-21 - ######### - ######### - ######### - 1835)
Эти записи наследуются от корня Active Directory (DC = contoso, DC = local). Они там по крайней мере несколько месяцев, а может быть, даже годы. Я подумал, что это может быть связано с предыдущим админом до меня, но потом я заметил кое-что еще более странное:
При просмотре дополнительных настроек безопасности на самом деле есть десятки записей с упомянутыми именами, но на самом деле для этих записей нет никаких разрешений. Это просто большая куча записей (30+), которые, казалось бы, вообще ничего не делают. (За исключением единственной записи, которая предоставляет «Создать msExchDynamicDistributionLi ...»). В настоящее время мы не запускаем Exchange Server, хотя несколько месяцев назад в домене был Exchange Server в качестве пилотного проекта, и, вероятно, он будет снова запущен в будущем.
Итак, у меня есть несколько вопросов.
Будет ли безопасно удалить эти записи в корне? Я сомневаюсь, что что-то критическое проявится в таком виде.
Есть ли правильный способ сбросить правильные разрешения в корне? В дополнительных настройках безопасности я вижу кнопку «Восстановить настройки по умолчанию». Я немного не решаюсь нажимать на нее, но это похоже на то, что я хочу.
Может ли кто-нибудь порекомендовать инструмент для аудита списков ACL моей Active Directory? Если я так долго скучал по ним, возможно, я тоже упускаю что-то еще.