作为对我问题的后续已删除用户的 AD 中的反向链接是否会被清除我还有另一个相关但不同的问题。
因为我在答案中得知,已删除对象的 SID(组或用户,因此将权限分配给组只能最大限度地减少问题,而不能解决问题)将保留在已分配的 ACE 中,使它们成为孤立对象。
Lotus Domino 有类似的反向引用问题,它有一个 adminp 进程来清理此类孤立引用。
AD 中是否存在类似的过程,可以让您清理域中漂浮的孤立 SID?
答案1
我还没有测试过这个,所以请原谅我的先发帖(但我没有测试域,也不打算在生产中测试这个),但也许你正在寻找 SUBINACL。下载它这里
subinacl.exe /help /cleandeletedsidsfrom提供以下内容:
/cleandeletedsidsfrom=域[=dacl|sacl|所有者|主组|全部]
delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.
似乎你可以用它/samobject切换到适用于用户或组。
答案2
如何使用 Security Explorer 之类的工具?它就像是强化版的 Windows Explorer,可以集中查找和删除孤立的 SID 以进行清理。www.securityexplorer.com。
答案3
这是该工具的一个方面,但是数据优势执行此项工作以及一系列其他系统文件/目录管理和清理工作。
答案4
我最近在与客户合作时遇到了这个问题,我没有尝试所有 powershell 和其他我遇到问题的东西,而是编写了一个带有 GUI 的快速程序来删除所有幽灵账户。这要简单得多。请查看http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6
我认为它更简单并且免费。