Não é incomum ver entradas em ACLs do Windows (arquivos / pastas NTFS, registro, objetos do AD, etc.) com o nome "Conta Desconhecida (SID)". Obviamente, isso ocorre devido a usuários ou grupos antigos do AD que, em algum momento, tinham permissões configuradas manualmente no objeto relevante e, desde então, foram excluídas.
Alguém sabe se é seguro remover essas ACEs "Conta Desconhecida"?
Minha intuição é de que tudo deve ficar bem, mas estou imaginando se alguém tem alguma experiência passada em que isso tenha causado problemas?
Normalmente, eu simplesmente os ignoro, mas a empresa em que estou trabalhando agora parece ter um número anormal, provavelmente devido à inexperiência dos administradores anteriores com o AD / Windows e à atribuição de permissões a contas de usuários em vez de grupos em todos os tipos de lugares estranhos.
FWIW, nosso ambiente não é complexo, uma única floresta de domínio, 4 DCs em 3 sites, com toda conectividade de rede e replicação saudáveis, então estou certo de que essas entradas "Conta Desconhecida" são realmente antigas e não apenas por causa de alguma falha em resolver o SID para um nome legível por humanos.
faça um backup e siga em frente.
Supondo que você não tenha nenhuma relação de confiança com outros domínios e, conforme mencionado anteriormente, problemas de conectividade de rede.
você pode fazer backup de ACLs usando xcacls.exe ou icacls.exe (Vista e acima) Eles podem estar em formato para que você possa copiar e colá-los novamente.