Làm thế nào để dọn sạch SID mồ côi trong các ACE trong AD?

9

Để theo dõi câu hỏi của tôi Làm rõ backlinks trong AD cho người dùng đã xóa Tôi có một câu hỏi khác liên quan nhưng khác.

Vì tôi được thông báo trong các câu trả lời rằng SID của một đối tượng đã bị xóa (Nhóm hoặc Người dùng, do đó, việc gán quyền cho nhóm chỉ giảm thiểu vấn đề và không khắc phục được) sẽ vẫn nằm trong các ACE mà họ đã được chỉ định, khiến họ mồ côi.

Lotus Domino, có vấn đề tương tự với các tài liệu tham khảo trở lại, có một quy trình quản trị để dọn sạch các tài liệu tham khảo mồ côi đó.

Có một quy trình tương tự trong AD cho phép bạn dọn sạch các SID mồ côi như vậy trôi nổi trên miền của bạn không?

active-directory  tombstones 
geoffc
nguồn
2
Tôi không biết một cách tự động để làm điều này, do đó một bình luận thay vì trả lời. Tôi nghi ngờ đây là một giải pháp của riêng bạn và tôi cũng quan tâm đến phản hồi. Tiện ích Microsoft dsaclscó thể được sử dụng để quản lý ACL tên miền, mà tôi nghĩ có thể hữu ích trong trường hợp này ... Có thể song song với một số PowerShell-fu.
jscott
1
Điều lạ lùng, đây phải là một vấn đề phổ biến, nếu không thì không ai thực sự quan tâm đến việc mồ côi của SID ...
geoffc

Câu trả lời:

7

Tôi chưa thử nghiệm điều này vì vậy hãy tha thứ cho bài đăng ưu tiên của tôi (nhưng tôi không có miền thử nghiệm và không có kế hoạch thử nghiệm điều này trong sản xuất) nhưng có lẽ bạn đang tìm kiếm SUBINACL. Tải xuống ở đây

subinacl.exe / help / cleandelasetsidsfrom cung cấp các thông tin sau:

/ cleandelasetsidsfrom = domain [= dacl | sacl | chủ sở hữu | nhóm chính | tất cả]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Xuất hiện bạn có thể sử dụng công cụ này với / chuyển đổi samobject để áp dụng cho Người dùng hoặc Nhóm.

Jordan W.
nguồn
1

Làm thế nào về việc chỉ sử dụng một công cụ như Security Explorer? Nó giống như Windows Explorer trên steroid và có thể định vị và xóa SIDs mồ côi tập trung để dọn sạch chúng. www.securityexplorer.com.

Eric Peterson
nguồn
Security Explorer, $ 445,00 cho việc sử dụng 30 ngày. Không, cảm ơn Dell.
Gordon Bell
0

Đó là một khía cạnh của công cụ, nhưng DatAdvantage thực hiện điều này và một loạt các quản lý và dọn dẹp tệp / hệ thống khác.

Mike Buckbee
nguồn
-1

Gần đây tôi đã gặp phải vấn đề này khi làm việc với khách hàng và thay vì trải qua tất cả các quyền hạn và những thứ khác mà tôi gặp vấn đề với tôi đã viết một chương trình nhanh với GUI để xóa tất cả các tài khoản ma. Điều này đơn giản hơn nhiều. Vui lòng kiểm tra tại http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Tôi nghĩ nó đơn giản hơn nhiều và nó miễn phí.

chrderder
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.