Usuários autenticados integrados no grupo no AD excluído

2

Eu tenho uma configuração de grande porte do AD, onde um dos administradores já iniciados, por motivos desconhecidos, excluiu o grupo de assuntos.

Andei pesquisando por um tempo, mas além de explicações para que serve o grupo e avisos para não apagá-lo, não consegui encontrar nada.

O SID é conhecido, então gostaria de saber se eu criaria um novo grupo com o mesmo nome e SID, isso seria suficiente para interromper a configuração, ou a exclusão do grupo poderia causar danos ao esquema do AD?

Um conjunto de etapas para consertar isso (além de encontrar o gênio que causou e causar ferimentos graves) é mais do que bem-vindo

Obrigado

    
por dyasny 22.09.2014 / 17:42

2 respostas

8

Você não pode excluir o grupo 'NT Authority \ Authenticated Users' (SID S-1-5-11).

Você também não pode visualizar esse grupo em Usuários e Computadores do AD, o que explicaria por que você não pode vê-lo usando essa ferramenta.

Não é um grupo de segurança "real" como "DOMAIN \ Domain Admins", por exemplo. A associação de "Usuários autenticados" é gerada dinamicamente e representa todos que foram autenticados para fazer o domínio.

Editar: Na verdade, você pode visualizá-lo como um Principal de segurança estrangeira no contêiner ForeignSecurityPricipals. Foi errado da minha parte afirmar que você simplesmente não consegue ver isso no ADUC. Mas tenha em mente que este FSP não é o objeto em si. Você pode até excluir esse FSP também ... Eu só fiz isso no meu laboratório para ver o que aconteceria. Mas excluir um FSP não é o mesmo que excluir o objeto que ele representa. Ainda é possível resolver o SID para nomear, você ainda obtém NT AUTHORITY \ Authenticated Users em seu token quando você faz logon em um servidor ( whoami /groups ,) e ainda é possível atribuir o grupo Usuários autenticados a ACLs. Todos os computadores entendem esse SID conhecido. Nada parece estar quebrando no meu domínio de teste ...

Consegui recriar o Principal de Segurança Estrangeira adicionando-o a um grupo. (Eu o adicionei ao grupo "Usuários", por exemplo.) O ato de fazer referência a ele fez com que o Mecanismo de Serviços de Diretório recriase automaticamente o FSP no contêiner ForeignSecurityPrincipals ao qual pertence.

Eu percebo que isso provavelmente não tem mais nada a ver com o seu problema real - eu estou fora nas ervas daninhas agora - mas eu achei que isso era legal. Aqui está eu em meu domínio no qual eu excluí a entidade de segurança estrangeira "Usuários autenticados" e reiniciei ambos os meus DCs. Eu ainda sou capaz de traduzir o SID S-1-5-11 mesmo que o FSP tenha ido embora:

(Então recriou o FSP adicionando-o a um grupo como mencionado acima.)

    
por 22.09.2014 / 18:14
0

Vou postar isso como uma resposta, porque é a maneira padrão de fazer as coisas. Não é a correção (e espero que alguém publique uma boa resposta técnica, e eles devem receber a marca de seleção), mas é uma maneira garantida de obter a correção e é definitivamente algo que os futuros leitores devem saber é uma opção.

Abra um ticket com o Microsoft PSS. Vai valer a pena os US $ 125.

/ Edit - Ryan faz um bom argumento, provavelmente não é apagado. Você deve descrever mais detalhadamente os problemas que está vendo e a solução de problemas que você fez até agora.

    
por 22.09.2014 / 18:08