Как очистить потерянные SID в ACE в AD?

Question

Как очистить потерянные SID в ACE в AD?

В продолжение моего вопроса. Удалите ли обратные ссылки в AD для удаленных пользователей? У меня есть еще один связанный, но другой вопрос.

Поскольку в ответах мне сообщается, что SID удаленного объекта (группа или пользователь, поэтому назначение прав группе только сводит к минимуму проблему, а не устраняет ее), останется в пределах назначенных им ACE, оставляя их сиротами.

Lotus Domino, у которого есть подобные проблемы с обратными ссылками, имеет процесс adminp для очистки таких потерянных ссылок.

Существует ли аналогичный процесс в AD, который позволил бы вам очистить такие потерянные идентификаторы безопасности, плавающие вокруг вашего домена?

10

active-directory tombstones

Источник

geoffc 04 ноя '10 в 12:50

4 ответа

Решение

Как насчет использования такого инструмента, как Security Explorer? Он похож на Windows Explorer на стероидах и может централизованно находить и удалять потерянные SID, чтобы очистить их. www.securityexplorer.com.

1

Источник

Eric Peterson 26 янв '11 в 22:14

Это один из аспектов инструмента, но DatAdvantage делает это и множество других системных файлов и каталогов для управления и очистки.

0

Источник

Mike Buckbee 01 окт '15 в 20:44

Недавно я столкнулся с этой проблемой при работе с клиентом, и вместо того, чтобы просматривать все PowerShell и другие вещи, с которыми у меня были проблемы, я написал быструю программу с графическим интерфейсом для удаления всех учетных записей-призраков. это намного проще. Пожалуйста, проверьте это на http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Я думаю, что это намного проще и это бесплатно.

-1

Источник

chris snyder 02 мар '17 в 14:42

Другие вопросы по тегам active-directory tombstones

Jordan W. 12 янв '11 в 19:31 2011-01-12 19:31 · Accepted Answer · 2011-01-12 19:31

Я не проверял это, так что простите мой приоритетный пост (но у меня нет тестового домена и я не планирую тестировать это в производстве), но, возможно, вы ищете SUBINACL. Загрузите это здесь

subinacl.exe /help /cleandeletedsidsfrom предоставляет следующее:

/ Cleandeletedsidsfrom= домен [= DACL | SACL | владелец | primarygroup | все]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Похоже, вы можете использовать это с ключом /samobject для применения к пользователям или группам.