在 Windows ACL(NTFS 文件/文件夹、注册表、AD 对象等)中看到名为“未知帐户 (SID)”的条目并不罕见。显然,这是因为旧的 AD 用户或组曾经在相关对象上手动配置了权限,但后来被删除了。
有人知道删除这些“帐户未知” ACE 是否安全吗?
我的直觉是这应该没问题,但我想知道是否有人过去有过这样做导致麻烦的经历?
通常我只是忽略这些,但我现在工作的公司似乎有异常多的这些问题,很可能是因为过去的管理员对 AD/Windows 缺乏经验,并且在各种奇怪的地方将权限分配给用户帐户而不是组。
值得一提的是,我们的环境并不复杂,只有一个域林,3 个站点中有 4 个 DC,所有网络连接和复制都正常,因此我确信这些“未知帐户”条目确实是旧帐户,而不仅仅是因为无法将 SID 解析为人类可读的名称。
答案1
只要您没有连接问题,删除它们是安全的。请务必小心,因为如果 Windows 无法连接到 AD,它将显示“帐户未知”,或者如果您有多个域,则可能需要一些时间才能跨越域边界等。
答案2
备份并继续。
假设您与其他域没有任何信任,并且如前所述,存在任何网络连接问题。
您可以使用 xcacls.exe 或 icacls.exe(Vista 及以上版本)备份 ACL。它们可以采用这样的格式,您可以复制粘贴并重新应用它们。