Как очистить потерянные SID в ACE в AD?

9

В продолжение моего вопроса. Удалите ли обратные ссылки в AD для удаленных пользователей У меня есть еще один связанный, но другой вопрос.

Поскольку в ответах мне сообщается, что SID удаленного объекта (Группа или Пользователь, поэтому назначение прав группе только сводит к минимуму проблему, а не устраняет ее), останется в пределах назначенных им ACE, оставляя их сиротами.

Lotus Domino, у которого есть подобные проблемы с обратными ссылками, имеет процесс adminp для очистки таких потерянных ссылок.

Существует ли аналогичный процесс в AD, который позволил бы вам очистить такие потерянные идентификаторы безопасности, плавающие вокруг вашего домена?

active-directory tombstones geoffc
источник
2
Я не знаю автоматического способа сделать это, следовательно, комментарий вместо ответа. Я подозреваю, что это решение по вашему усмотрению, и я также заинтересован в ответах. Утилита Microsoft dsaclsможет использоваться для управления списками управления доступом к домену, что, я думаю, может быть полезно в этом сценарии ... Возможно, в сочетании с некоторыми PowerShell-фу.
Jscott
1
Странно, это должно быть распространенной проблемой, иначе никто на самом деле не заботится о
потерянных

Ответы:

7

Я не проверял это, так что простите мой приоритетный пост (но у меня нет тестового домена и я не планирую тестировать это в производстве), но, возможно, вы ищете SUBINACL. Загрузите это здесь

subinacl.exe / help / cleandeletedsidsfrom предоставляет следующее:

/ Cleandeletedsidsfrom = домен [= DACL | SACL | владелец | primarygroup | все]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Похоже, вы можете использовать это с ключом / samobject для применения к пользователям или группам.

Джордан В.
источник
1

как насчет использования такого инструмента, как Security Explorer? Он похож на Windows Explorer на стероидах и может централизованно находить и удалять потерянные SID, чтобы очистить их. www.securityexplorer.com.

Эрик Петерсон
источник
Security Explorer, $ 445,00 за 30 дней использования. Нет, спасибо Dell.
Гордон Белл
0

Это один из аспектов инструмента, но DatAdvantage делает это и множество других системных файлов и каталогов для управления и очистки.

Майк Бакби
источник
-1

Недавно я столкнулся с этой проблемой при работе с клиентом, и вместо того, чтобы просматривать все PowerShell и другие вещи, с которыми у меня были проблемы, я написал быструю программу с графическим интерфейсом для удаления всех учетных записей-призраков. это намного проще. Пожалуйста, проверьте это на http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Я думаю, что это намного проще и это бесплатно.

Крис Снайдер
источник