我看到一些组,它们包含大型复杂 AD 林中具有许多域的用户的当前或之前的 SidHistory。
是否可以查看 SidHistory 的前半部分并确定特定 Sid 条目来自哪个树或域?
这是预期行为吗?在什么条件下?
这些遗留 Sid 的群体是否应该以某种方式被清理?(或者不清理)
答案1
是否可以查看 SidHistory 的前半部分并确定特定 Sid 条目来自哪个树或域?
通常不会。SIDHistory SID 通常来自已迁移的域,希望不再存在。如果它们确实存在,您可以尝试运行 Sysinternals psgetsid.exe [SID] 以查看它是否解析为某个内容。
这是预期行为吗?在什么条件下?
是的,当您的组织执行迁移时创建了 SIDHistory SID。
是否应该以某种方式清理这些拥有遗留 Sid 的团体?
是的,就是这个概念。
答案2
是否可以查看 SidHistory 的前半部分并确定特定 Sid 条目来自哪个树或域?
假设域 A 是您的源域,域 B 是您的目标域。如果使用 SID 历史记录迁移帐户,则域 B 中的迁移帐户将具有一个属性,该属性包含域 A 中原始帐户的 SID。
这是预期行为吗?在什么条件下?
如上所述,如果帐户使用 SID 历史记录进行迁移
这些遗留 Sid 的群体是否应该以某种方式被清理?(或者不清理)
您可以使用脚本方法来删除Sid历史属性。