Як очистити осироті СНІД у АПФ в АД?

9

Як відповідь на моє запитання Чи зворотні зворотні посилання в AD для видалених користувачів, у мене є ще один пов'язаний, але інший питання.

Оскільки в відповідях мені повідомляється, що SID видаленого об’єкта (групи або користувача, тому присвоєння прав групі лише мінімізує проблему, а не виправляє її) залишатиметься в межах призначених їм ACE, залишаючи їх осиротілими.

У Lotus Domino, який має подібні проблеми зі зворотними посиланнями, є процес адміністрування для очищення таких сирітських посилань.

Чи існує подібний процес в AD, який дозволив би очистити такі осиротілі SID, що плавають навколо вашого домену?

active-directory tombstones

— геоффк
джерело

2

Я не знаю автоматичного способу зробити це, звідси коментар замість відповіді. Я підозрюю, що це власне рішення, і мене також цікавлять відповіді. Утиліта Microsoft dsaclsможе використовуватися для управління доменними ACL, що, на мою думку, може бути корисним у цьому сценарії ... Можливо, в тандемі з деякими PowerShell-fu.

— jscott

1

Як не дивно, це повинна бути загальною проблемою, інакше ніхто насправді не піклується про осиротілих SID ...

— geoffc

7

Я не перевіряв цього, тож пробачте про свою вигідну посаду (але я не маю тестового домену і не планую тестувати це на виробництві), але, можливо, ви шукаєте SUBINACL. Завантажте його тут

subinacl.exe / help / clearndeletedsidsfrom надає наступне:

/ clearndeletedsidsfrom = domain [= dacl | sacl | власник | Primarygroup | all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Здається, ви можете використовувати цей перемикач / samobject, щоб застосувати його до користувачів або груп.

— Jordan W.
джерело

1

як щодо просто використання такого інструменту, як Security Explorer? Це як Windows Explorer на стероїдах, і він може центрально знаходити та видаляти осиротілі SID, щоб очистити їх. www.securityexplorer.com.

— Ерік Петерсон
джерело

Провідник безпеки, $ 445,00 за 30 днів використання. Ні, дякую, Dell

— Гордон Белл

0

Це один з аспектів цього інструменту, але DatAdvantage робить це і ще безліч інших системних файлів / управління та чистки.

— Майк Бакбі
джерело

-1

я нещодавно зіткнувся з цією проблемою під час роботи з клієнтом і замість того, щоб переглядати всі повноваження та інші речі, з якими у мене виникли проблеми, я написав швидку програму з графічним інтерфейсом, щоб видалити всі облікові записи привидів. це набагато простіше. Перевірте це на веб- сторінці http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Я думаю, що це набагато простіше і це безкоштовно.

— Кріс Снайдер
джерело