Как обратные ссылки очищаются в Active Directory? (Внутри домена и между доменами)
Допустим, у вас есть пользователь в AD. Они получают всевозможные права, предоставленные с течением времени. Они также получают доступ к ресурсам в удаленном домене, который доверяет вашему домену.
Затем они покидают компанию, а вы удаляете их объект. Удаленный объект становится надгробным объектом, который предназначен для сохранения SID на случай, если вы захотите их "удалить", вроде.
Так что же происходит с ACE, у которых есть SID? В домене, я думаю, после того, как надгробие истечет, он будет очищен. В конце концов, какой смысл сохранять SID, если все ссылки на него уже ушли.
Что происходит с ACE в удаленном доверенном домене? Как он очищает потерянные SID в ACE и еще много чего?
1 ответ
Так что же происходит с ACE, у которых есть SID?
Любой ACL, содержащий ACE для удаленного пользователя, будет отображать потерянный SID вместо имени пользователя. Этот ТУЗ не будет удален после жизни надгробной плиты.
В домене, я думаю, после того, как надгробие истечет, он будет очищен. В конце концов, какой смысл сохранять SID, если все ссылки на него уже ушли.
ACE сам по себе является явной ссылкой на SID. ACE осиротевшего SID останется "навсегда" в ACL, если не будет удален.
Что происходит с ACE в удаленном доверенном домене? Как он очищает потерянные SID в ACE и еще много чего?
Та же ситуация, что и выше. Там нет автоматической "очистки", о которой я знаю.
Эта "проблема" является одной из многих причин предоставления разрешений / делегаций для каждой группы, а не для пользователя для большинства всего. Когда пользователи покидают компанию, вы удаляете их пользовательский объект. Предоставление им замены одинаковых разрешений по всему домену так же просто, как добавление нового найма в существующую группу.