Jak wyczyścić osierocone identyfikatory SID w ACE w AD?

9

W odpowiedzi na moje pytanie Czy w AD usuwane są linki zwrotne dla usuniętych użytkowników , mam inne powiązane, ale inne pytanie.

Ponieważ w odpowiedziach zostałem poinformowany, że identyfikator SID usuniętego obiektu (grupa lub użytkownik, więc przypisanie praw do grupy minimalizuje problem, ale go nie naprawia) pozostanie w przypisanych do niego pozycjach ACE, pozostawiając je osierocone.

Lotus Domino, który ma podobne problemy z referencjami wstecznymi, ma proces adminp do czyszczenia takich osieroconych referencji.

Czy istnieje podobny proces w AD, który pozwoliłby ci wyczyścić takie osierocone identyfikatory SID unoszące się wokół Twojej domeny?

active-directory tombstones geoffc
źródło
2
Nie znam automagicznego sposobu na zrobienie tego, stąd komentarz zamiast odpowiedzi. Podejrzewam, że jest to rozwiązanie typu roll-your-own i jestem również zainteresowany odpowiedziami. Narzędzia Microsoft dsaclsmożna używać do zarządzania listami ACL domeny, co moim zdaniem może być przydatne w tym scenariuszu ... Prawdopodobnie w połączeniu z niektórymi programami PowerShell-fu.
jscott,
1
Dziwne, to musi być powszechny problem, bo inaczej tak naprawdę nikogo nie
obchodzą

Odpowiedzi:

7

Nie testowałem tego, więc wybacz mój zapobiegawczy post (ale nie mam domeny testowej i nie planuję testować tego w produkcji), ale być może szukasz SUBINACL. Pobierz tutaj

subinacl.exe / help / cleandeletedsidsfrom zapewnia:

/ cleandeletedsidsfrom = domena [= dacl | sacl | właściciel | grupa podstawowa | wszystkie]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Wygląda na to, że możesz użyć tego przełącznika / samobject, aby zastosować do użytkowników lub grup.

Jordan W.
źródło
1

co powiesz na użycie narzędzia takiego jak Security Explorer? To jest jak Eksplorator Windows na sterydach i może centralnie lokalizować i usuwać osierocone identyfikatory SID, aby je wyczyścić. www.securityexplorer.com.

Eric Peterson
źródło
Security Explorer, 445,00 $ za użytkowanie przez 30 dni. Nie, dziękuję Dell.
Gordon Bell,
0

Jest to jeden z aspektów tego narzędzia, ale DatAdvantage to robi i kilka innych systemowych systemów zarządzania plikami i ich czyszczenia.

Mike Buckbee
źródło
-1

Niedawno natknąłem się na ten problem podczas pracy z klientem i zamiast przeglądać wszystkie PowerShell i inne rzeczy, z którymi miałem problemy, napisałem szybki program z GUI, aby usunąć wszystkie konta duchów. to jest o wiele prostsze. Proszę to sprawdzić na http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Myślę, że jest to o wiele prostsze i za darmo.

Chris Snyder
źródło