У меня большая установка AD, где один из уже уволенных админов по неизвестным причинам удалил тематическую группу.
Некоторое время гуглил, но кроме объяснений, для чего предназначена группа, и предупреждений не удалять ее, я ничего не нашел.
Идентификатор безопасности известен, поэтому мне интересно, если я создам новую группу с тем же именем и идентификатором безопасности, будет ли этого достаточно, чтобы не нарушить настройку, или же удаление группы может вызвать разрушение схемы AD?
Набор шагов по исправлению этого (помимо поиска гения, который это сделал и нанесшего серьезные травмы) более чем приветствуется.
Спасибо
Вы не можете удалить группу «NT Authority \ Authenticated Users» (SID S-1-5-11).
Вы также не можете просматривать эту группу в AD Users and Computers, что объясняет, почему вы не можете увидеть ее с помощью этого инструмента.
Это не «настоящая» группа безопасности, как, например, «DOMAIN \ Domain Admins». Состав «Прошедших аутентификацию пользователей» создается динамически и представляет всех, кто прошел аутентификацию для работы в домене.
Редактировать: На самом деле ты жестяная банка рассматривать его как принципала внешней безопасности в контейнере ForeignSecurityPricipals. Было неправильно с моей стороны прямо заявить, что вы просто не можете увидеть это в ADUC. Но имейте в виду, что этот FSP не является самим объектом. Вы даже можете удалить этот FSP ... Я просто сделал это в своей лаборатории, чтобы посмотреть, что произойдет. Но удаление FSP - это не то же самое, что удаление объекта, который он представляет. Вы по-прежнему можете разрешить SID для имени, вы по-прежнему получаете NT AUTHORITY \ Authenticated Users в вашем токене, когда вы входите на сервер (whoami /groups
,), и вы все равно можете назначить группу прошедших проверку пользователей спискам ACL. Все компьютеры понимают этот хорошо известный SID. Кажется, в моем тестовом домене ничего не ломается ...
Мне удалось воссоздать принципала внешней безопасности, добавив его в группу. (Я добавил его, например, в группу «Пользователи».) Ссылка на него заставила движок служб каталогов автоматически воссоздать FSP в контейнере ForeignSecurityPrincipals, которому он принадлежит.
Я понимаю, что это, вероятно, больше не имеет ничего общего с вашей реальной проблемой - я сейчас в траве, - но я подумал, что это было аккуратно. Вот я в своем домене, в котором я удалил участника внешней безопасности «Прошедшие проверку» и перезагрузил оба моих контроллера домена. Я все еще могу перевести SID S-1-5-11, хотя FSP уже давно нет:
(Затем я воссоздал FSP, добавив его в группу, как указано выше.)
Я отправлю это как ответ, потому что это стандартный способ работы. Это не исправление (и я надеюсь, что кто-то опубликует хороший технический ответ, и он должен получить галочку), но это гарантированный способ получить исправление, и это определенно то, что будущие читатели должны знать, что это вариант.
Откройте заявку с Microsoft PSS. Это будет стоить 125 долларов или около того.
/ Edit - Райан подчеркивает, что он, вероятно, не удален. Вам следует более подробно описать проблемы, которые вы наблюдаете, и какие действия по их устранению вы уже предприняли.