作为我的问题的后续措施,请在AD中为已删除的用户清除反向链接,我还有另一个相关但不同的问题。
由于我在答案中被告知,已删除对象的SID(“组”或“用户”,因此将权限分配给组只会使问题最小化,并且无法解决问题)将保留在已分配的ACE中,从而使它们成为孤立的。
Lotus Domino的反向引用存在类似问题,它具有一个adminp进程来清理这些孤立的引用。
AD中是否有类似的过程,可让您清理在您的域中浮动的这些孤立的SID?
Answers:
我没有对此进行测试,所以无法原谅我的优先职位(但是我没有测试域,也没有计划在生产中进行测试),但也许您正在寻找SUBINACL。在这里下载
subinacl.exe / help / cleandeletedsidsfrom提供以下内容:
/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]
delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.
似乎可以将其与/ samobject开关一起使用,以应用于用户或组。
仅使用Security Explorer之类的工具怎么样?就像类固醇上的Windows资源管理器一样,它可以集中定位和删除孤立的SID来清理它们。www.securityexplorer.com。
这是该工具的一个方面,但是DatAdvantage可以做到这一点,还可以进行其他一系列系统的文件/目录管理和清理。
我最近在与客户一起工作时遇到了这个问题,而不是浏览所有的Powershell和我遇到的其他问题,而是使用GUI编写了一个快速程序来删除所有虚假帐户。这要简单得多。请在http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6上进行检查
我认为这要简单得多,而且是免费的。
dsacls可用于管理域ACL,我认为这种ACL在这种情况下可能会有用...可能与某些PowerShell-fu串联。