可以删除 Active Directory 根目录中的“未知帐户”条目吗?

可以删除 Active Directory 根目录中的“未知帐户”条目吗?

可能重复:
从域环境中的 Windows ACL 中删除“未知帐户”条目是否安全?

我最近注意到我的 Active Directory 中的所有对象在“安全”选项卡下都有两个奇怪的列表:

帐户未知(S-1-5-21-#########-#########-#########-1835) 帐户
未知(S-1-5-21-#########-#########-#########-1835)

这些条目是从 Active Directory 的根目录 (DC=contoso,DC=local) 继承的。它们至少已经存在了几个月,甚至可能是几年。我认为这可能与我之前的一位管理员有关,但后来我注意到一些更奇怪的事情:

查看高级安全设置时,实际上有数十个条目具有上述名称,但这些条目中实际上没有授予任何权限。这只是一大堆条目(30 多个),似乎什么都不做。(除了一个授予“创建 msExchDynamicDistributionLi...”的条目)。我们目前没有运行 Exchange Server,尽管几个月前域中有一个 Exchange Server 作为试点项目,并且将来可能会再次运行。

因此,我有几个问题。

  1. 我从根目录删除这些条目安全吗?我怀疑这样不会出现任何关键信息。

  2. 有没有正确的方法可以在根目录重置正确的权限?在高级安全设置中,我看到一个名为“恢复默认值”的按钮。我有点犹豫要不要按它,但这听起来像是我想要的。

  3. 有人能推荐一款用于审核我的 Active Directory 的 ACL 的工具吗?如果我这么久都没用过这些,那我可能还用不到其他东西。

答案1

相关内容