Bagaimana cara membersihkan SID yatim di ACE dalam AD?

9

Sebagai tindak lanjut dari pertanyaan saya, lakukan backlink dengan jelas dalam AD untuk pengguna yang dihapus .

Karena saya diberitahu dalam jawaban di sana bahwa SID objek yang dihapus (Grup atau Pengguna, jadi menetapkan hak untuk grup hanya meminimalkan masalah, dan tidak memperbaikinya) akan tetap berada dalam ACE yang telah ditugaskan kepada mereka, membuat mereka menjadi yatim piatu.

Lotus Domino, yang memiliki masalah serupa dengan referensi belakang, memiliki proses adminp untuk membersihkan referensi yatim tersebut.

Apakah ada proses serupa dalam AD yang akan memungkinkan Anda untuk membersihkan SID yatim piatu yang mengambang di sekitar domain Anda?

active-directory tombstones

— geoffc
sumber

2

Saya tidak tahu cara automagic untuk melakukan ini, karenanya komentar bukannya jawaban. Saya menduga ini adalah solusi roll-Anda-sendiri dan saya juga tertarik pada tanggapan. Utilitas Microsoft dsaclsdapat digunakan untuk mengelola ACL domain, yang saya pikir dapat berguna dalam skenario ini ... Mungkin bersama dengan beberapa PowerShell-fu.

— jscott

1

Aneh, ini pasti masalah umum, atau tidak ada yang peduli soal SID yatim ...

— geoffc

7

Saya belum menguji ini, jadi maafkan posting preemptive saya (tapi saya tidak punya domain pengujian dan tidak berencana untuk menguji ini dalam produksi) tetapi mungkin Anda sedang mencari SUBINACL. Unduh di sini

subinacl.exe / help / cleandeletedsids dari menyediakan berikut ini:

/ cleandeletedsidsfrom = domain [= dacl | sacl | pemilik | primarygroup | semua]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Tampaknya Anda dapat menggunakan ini dengan / samobject switch untuk diterapkan ke Pengguna atau Grup.

— Jordan W.
sumber

1

bagaimana kalau hanya menggunakan alat seperti Security Explorer? Ini seperti Windows Explorer pada steroid, dan dapat secara terpusat menemukan dan menghapus SID yatim untuk membersihkannya. www.securityexplorer.com.

— Eric Peterson
sumber

Security Explorer, $ 445,00 untuk penggunaan 30 hari. Tidak, terima kasih Dell.

— Gordon Bell

0

Ini adalah salah satu aspek dari alat ini, tetapi DatAdvantage melakukan ini dan banyak manajemen dan pembersihan file / direktori sistemik lainnya.

— Mike Buckbee
sumber

-1

Saya baru-baru ini mengalami masalah ini ketika bekerja dengan klien dan bukannya melalui semua PowerShell dan hal-hal lain yang saya punya masalah dengan saya menulis program cepat dengan GUI untuk menghapus semua akun hantu. ini jauh lebih sederhana. Silakan periksa di http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Saya pikir ini jauh lebih sederhana dan gratis.

— chris snyder
sumber