Como os backlinks são limpos no Active Directory? (Dentro do domínio e entre os domínios)

1

Digamos que você tenha um usuário no AD. Eles recebem todos os tipos de direitos concedidos ao longo do tempo. Eles também obtêm acesso em um domínio remoto que confia em seu domínio, em recursos.

Em seguida, eles saem da empresa e você exclui o objeto deles. O objeto excluído se torna um objeto de marca para exclusão, que é destinado a preservar o SID, caso você deseje "desfazer a exclusão" deles, mais ou menos.

Então, o que acontece com os ACE que tiveram seu SID? Dentro do domínio, meu palpite é que depois que a lápide expirar, ela será limpa. Já que afinal, qual é o sentido de preservar o SID se todas as referências a ele já tiverem desaparecido?

O que acontece com o ACE no domínio confiável remoto? Como isso esclarece SIDs órfãos em ACE e outros enfeites?

    
por geoffc 04.11.2010 / 11:42

1 resposta

2

So what happens to the ACE's that had their SID in it?

Qualquer ACL contendo uma ACE para um usuário excluído exibirá o SID órfão em vez do nome do usuário. Esta ACE não será removida após a duração da marca de exclusão .

Within the domain, my guess is after the tombstone expires it will get cleaned up. Since after all, what is the point of preserving the SID if all references to it are already gone.

A ACE é, em si, e referência explícita ao SID. A ACE de um SID órfão permanecerá "para sempre" no ACL, a menos que seja removida.

What happens to the ACE's in the remote trusting domain? How does it clear up orphaned SIDs in ACE's and whatnot?

Mesma situação acima. Não há uma "limpeza" automática da qual eu saiba.

Esse "problema" é uma das muitas razões para conceder permissões / delegações por grupo ao invés de por usuário para quase tudo. Quando os usuários saem da empresa, você exclui seu objeto de usuário. Garantir a substituição das mesmas permissões em todo o domínio é tão simples quanto adicionar a nova contratação ao grupo existente.

    
por 04.11.2010 / 12:38