因此,我们的安全审计员给我发了一封电子邮件,指出我们的一台服务器的管理员组中有几个 AD 组和帐户不应该具有该机器的管理员访问权限。当我进入计算机管理-->组-->管理员时,我没有看到任何指示的帐户,但我看到很多条目,例如:
S-1-5-21-484763869-823518204-83922115-105014
这是在 Windows Server 2000 计算机上。显然,一定有办法获取纯文本帐户列表,因为审计员向我发送了一份包含每台计算机上帐户列表的电子表格,但我不确定如何在屏幕上正确显示它们,以便我可以在其中添加/删除组中的帐户。
答案1
你看到的是对象的 SID(安全标识符)。通常,Windows 会很贴心地在“安全”对话框中自动将此 SID 转换为用户的显示名称,这样您就不必费力寻找它,但如果在查看 ACL 时无法联系域控制器,您将看到 SID。如果 Active Directory 中不再存在用户/组/计算机,您也会看到此 SID。
如果您看到的是 SID 和显示名称的混合,那么您很可能正在查看 AD 中已删除的内容。如果您正在查看仅包含 SID 的完整列表,那么您的目录服务环境可能存在问题,您应该弄清楚为什么此服务器无法联系 DC 来向您显示此转换。您的域控制器可能处于离线状态,或者存在网络问题。
不过,SID 是一个可搜索的属性。因此,您可以使用 ADUC 管理单元、PowerShell 或您可能已经熟悉的任何其他方法来查询 AD。