So what happens to the ACE's that had their SID in it?
Qualquer ACL contendo uma ACE para um usuário excluído exibirá o SID órfão em vez do nome do usuário. Esta ACE não será removida após a duração da marca de exclusão .
Within the domain, my guess is after the tombstone expires it will get cleaned up. Since after all, what is the point of preserving the SID if all references to it are already gone.
A ACE é, em si, e referência explícita ao SID. A ACE de um SID órfão permanecerá "para sempre" no ACL, a menos que seja removida.
What happens to the ACE's in the remote trusting domain? How does it clear up orphaned SIDs in ACE's and whatnot?
Mesma situação acima. Não há uma "limpeza" automática da qual eu saiba.
Esse "problema" é uma das muitas razões para conceder permissões / delegações por grupo ao invés de por usuário para quase tudo. Quando os usuários saem da empresa, você exclui seu objeto de usuário. Garantir a substituição das mesmas permissões em todo o domínio é tão simples quanto adicionar a nova contratação ao grupo existente.