Como limpar SIDs órfãos em ACEs no AD?

Question

Como limpar SIDs órfãos em ACEs no AD?

#1 resposta do (7 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)
#4 resposta do (-1 votos)

9

Como acompanhamento da minha pergunta Fazer backlinks limpos no AD para usuários excluídos Eu tenho outra questão relacionada, mas diferente.

Desde que eu sou informado nas respostas que o SID de um objeto excluído (Grupo ou Usuário, então atribuir direitos ao grupo apenas minimiza o problema e não o corrige) permanecerá dentro das ACEs que foram atribuídas, deixando-os órfãos.

O Lotus Domino, que tem problemas semelhantes com referências anteriores, tem um processo de administração para limpar essas referências órfãs.

Existe algum processo semelhante no AD que permita a você limpar esses SIDs órfãos flutuando em torno de seu domínio?

active-directory tombstones

por geoffc 04.11.2010 / 13:50

4 respostas

1

que tal usar apenas uma ferramenta como o Security Explorer? É como o Windows Explorer em esteróides e pode localizar e excluir centralmente SIDs órfãos para limpá-los. www.securityexplorer.com.

por 26.01.2011 / 23:14

0

É um aspecto da ferramenta, mas o DatAdvantage faz isso e um monte de outros gerenciamentos e diretórios sistêmicos de arquivos / diretórios. limpeza.

por 01.10.2015 / 22:44

-1

Recentemente, deparei com esse problema ao trabalhar com um cliente e, em vez de passar por todas as outras coisas que estava tendo problemas, escrevi um programa rápido com uma GUI para remover todas as contas-fantasma. isso é muito mais simples. Por favor, confira no link

Eu acho que é muito mais simples e gratuito.

por 02.03.2017 / 15:42

Tags active-directory tombstones

Como anexar um RAID1 existente a um novo sistema Linux? Convertendo a licença do MSDN para licença comercial completa [duplicada]

score 7 · Accepted Answer

Eu não testei isso, então perdoe minha postagem preventiva (mas eu não tenho um domínio de teste e não planejo testar isso em produção), mas talvez você esteja procurando por SUBINACL. Faça o download aqui

subinacl.exe / help / cleandeletedsidsfrom fornece o seguinte:

/cleandeletedsidsfrom=domain[=dacl|sacl|owner|primarygroup|all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Aparece que você pode usar isso com o / samobject para aplicar a usuários ou grupos.