Удаленная встроенная группа пользователей в AD удалена
У меня есть установка AD большого размера, где один из уже уволенных администраторов по неизвестным причинам удалил группу субъекта.
Некоторое время гуглил, но кроме объяснений, для чего группа и предупреждения не удалять ее, я не смог ничего найти.
SID известен, поэтому мне интересно, если я создам новую группу с тем же именем и SID, этого будет достаточно, чтобы нарушить настройку, или удаление группы может привести к краху схемы AD?
Целый ряд шагов по исправлению этой проблемы (помимо нахождения гения, который это сделал и причинения серьезных травм) более чем приветствуется
Спасибо
2 ответа
Вы не можете удалить группу "NT Authority\Authenticated Users" (SID S-1-5-11).
Вы также не можете просмотреть эту группу в AD Users and Computers, что объясняет, почему вы не можете видеть ее с помощью этого инструмента.
Это не "настоящая" группа безопасности, как, например, "DOMAIN\Domain Admins". Членство в "Authenticated Users" генерируется динамически и представляет всех, кто прошел аутентификацию для создания домена.
Изменить: На самом деле вы можете просмотреть его в качестве принципала внешней безопасности в контейнере Foreign Security Pricipals. Это было неправильно с моей стороны прямо заявить, что вы просто не можете видеть это в ADUC. Но имейте в виду, что этот FSP не сам объект. Вы даже можете удалить этот FSP... Я просто сделал это в своей лаборатории, чтобы посмотреть, что произойдет. Но удаление FSP - это не то же самое, что удаление объекта, который он представляет. Вы по-прежнему можете разрешить имя SID для имени, при входе на сервер вы по-прежнему получаете NT AUTHORITY\Authenticated Users в свой токен (whoami /groups
,) и вы все равно можете назначить группу "Прошедшие проверку" спискам ACL. Все компьютеры понимают этот известный SID. Кажется, в моем тестовом домене ничего не ломается...
Мне удалось воссоздать принципала внешней безопасности, добавив его в группу. (Я добавил его, например, в группу "Пользователи".) При ссылке на него ядро служб каталогов автоматически воссоздает FSP в контейнере Foreign Security Principals, к которому он принадлежит.
Я понимаю, что это, вероятно, больше не имеет никакого отношения к вашей реальной проблеме - я сейчас в сорняках - но я подумал, что это аккуратно. Здесь я в своем домене, в котором я удалил стороннего участника безопасности "Аутентифицированные пользователи" и перезагрузил оба моих контроллера домена. Я все еще могу перевести SID S-1-5-11, хотя FSP давно нет:
(Затем я заново создал FSP, добавив его в группу, как указано выше.)
Я опубликую это как ответ, потому что это стандартный способ ведения дел. Это не исправление (и я надеюсь, что кто-то опубликует хороший технический ответ, и он должен получить галочку), но это гарантированный способ получить исправление, и это определенно то, что будущие читатели должны знать, это вариант.
Откройте тикет с помощью Microsoft PSS. Это будет стоить 125 долларов или около того.
/ Правка - Райан делает хорошее замечание, что он, вероятно, не удален. Вы должны более полно описать проблемы, с которыми вы сталкиваетесь, и то, что вы уже сделали.