假设您在 AD 中有一个用户。他们会随着时间的推移获得各种权限。他们还可以访问信任您域的远程域中的资源。
然后他们离开公司,您删除了他们的对象。被删除的对象将成为墓碑对象,其目的是保留 SID,以防您想“取消删除”它们。
那么包含 SID 的 ACE 会怎样呢?在域内,我猜想墓碑过期后它会被清除。毕竟,如果对 SID 的所有引用都已消失,那么保留 SID 又有什么意义呢?
远程信任域中的 ACE 会发生什么情况?它如何清除 ACE 中的孤立 SID 等?
答案1
那么包含 SID 的 ACE 会怎么样呢?
任何包含已删除用户 ACE 的 ACL 都将显示孤立的 SID,而不是用户名。此 ACE 将不是被删除后墓碑寿命。
在域内,我猜想墓碑过期后它将被清除。毕竟,如果对 SID 的所有引用都已消失,那么保留 SID 又有什么意义呢?
ACE 本身是 SID 的明确引用。除非被删除,否则孤立 SID 的 ACE 将“永远”保留在 ACL 中。
远程信任域中的 ACE 会发生什么情况?它如何清除 ACE 中的孤立 SID 等?
与上述情况相同。据我所知,没有自动“清理”功能。
这个“问题”是授予权限/委托的众多原因之一每组而不是每个用户几乎一切。当用户离开公司时,您将删除他们的用户对象。授予其继任者在整个域中的相同权限就像将新员工添加到现有组一样简单。