AD'deki ACE'lerde artık SID'leri nasıl temizleyebilirim?

9

Sorumun bir takip yukarı şöyle Do silinen kullanıcılar için AD net backlinks ben başka bir ilgili ama farklı bir sorum var.

Oradaki yanıtlarda, silinen bir nesnenin SID'sinin (Grup veya Kullanıcı) gruplandırıldığından, yalnızca gruba hak atamanın sorunu en aza indirdiği ve düzeltmediği konusunda bilgilendirildikleri için, atanmış ACE'lerde kalırlar ve öksüz bırakılırlar.

Geri referanslarla benzer sorunları olan Lotus Domino, bu tür yetimsiz referansları temizlemek için bir yönetici işlemine sahiptir.

AD'de alan adınızın etrafında yüzen bu tür yetimsiz SID'leri temizlemenizi sağlayacak benzer bir işlem var mı?

active-directory tombstones

— geoffc
kaynak

2

Bunu yapmanın otomajik bir yolunu bilmiyorum, dolayısıyla cevap yerine bir yorum. Bunun kendi çözümünüz olduğundan şüpheleniyorum ve ayrıca yanıtlarla da ilgileniyorum. Microsoft yardımcı programı dsacls, bu senaryoda yararlı olabileceğini düşündüğüm etki alanı ACL'lerini yönetmek için kullanılabilir ... Muhtemelen bazı PowerShell-fu ile birlikte.

— jscott

1

Garip, bu yaygın bir sorun olmalı, yoksa hiç kimse artık yetim

— SID'leri

7

Bunu bu kadar önleyici yazımı affetmedim (ancak bir test alanım yok ve bunu üretimde test etmeyi planlamıyorum) ama belki SUBINACL'i arıyorsunuz. Buradan indirin

subinacl.exe / help / cleandeletedsidsfrom aşağıdakileri sağlar:

/ Cleandeletedsidsfrom = domain [= DACL | SACL | sahibi | primaryGroup | tüm]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Bunu, Kullanıcılara veya Gruplara uygulamak için / samobject anahtarıyla kullanabileceğiniz anlaşılıyor .

— Jordan W.
kaynak

1

Security Explorer gibi bir araç kullanmaya ne dersiniz? Steroidlerdeki Windows Gezgini gibidir ve Yetim SID'leri merkezi olarak bulabilir ve silebilir. www.securityexplorer.com.

— Eric Peterson
kaynak

Güvenlik Gezgini, 30 gün kullanım için 445,00 dolar. Hayır, teşekkürler Dell.

— Gordon Bell

0

Bu aracın bir yönüdür, ancak DatAdvantage bunu ve bir grup diğer sistemik dosya / dizin yönetimi ve temizliğini yapar.

— Mike Buckbee
kaynak

-1

son zamanlarda bir istemci ile çalışırken bu sorun üzerinden koştu ve yerine tüm powershell ve i ile ilgili sorunlar yaşıyordu diğer hayalet hesapları tüm hayalet hesapları kaldırmak için bir GUI ile hızlı bir program yazdı. bu çok daha basit. Lütfen http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6 adresinden kontrol edin.

Bence çok daha basit ve ücretsiz.

— chris snyder
kaynak