내 질문에 대한 후속 조치로 삭제 된 사용자에 대해 AD에서 백 링크를 지우지 않습니까 ? 다른 관련이 있지만 다른 질문이 있습니다.
답변에 삭제 된 객체의 SID (그룹 또는 사용자)가 그룹에 대한 권한을 할당하면 문제가 최소화되고 수정되지 않음을 알 수 있으므로 할당 된 ACE 내에 남아있어 고아가됩니다.
역 참조와 유사한 문제가있는 Lotus Domino에는 이러한 분리 된 참조를 정리하는 adminp 프로세스가 있습니다.
AD에서 도메인 주위에 떠있는 고아 SID를 정리할 수있는 유사한 프로세스가 있습니까?
답변:
나는 이것을 테스트하지 않았으므로 선제 적 인 게시물을 용서하십시오 (그러나 테스트 도메인이 없으며 프로덕션에서 이것을 테스트 할 계획이 없습니다). 아마도 SUBINACL을 찾고 있습니다. 여기에서 다운로드 하십시오
subinacl.exe / help / cleandeletedsidsfrom 는 다음을 제공합니다.
/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]
delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.
/ samobject 스위치 와 함께 이것을 사용 하여 사용자 또는 그룹에 적용 할 수 있습니다 .
보안 탐색기와 같은 도구를 사용하는 것은 어떻습니까? 스테로이드의 Windows 탐색기와 비슷하며 중앙에서 Orphaned SID를 찾아 삭제하여 정리할 수 있습니다. www.securityexplorer.com.
그것은 도구의 한 측면이지만, DatAdvantage 는이를 수행하고 다른 많은 체계적인 파일 / 디렉토리 관리 및 정리를 수행합니다.
나는 최근에 클라이언트와 작업 할 때이 문제를 가로 질러 문제를 일으킨 대신 모든 고스트 계정을 제거하기 위해 GUI로 빠른 프로그램을 작성했습니다. 이것은 훨씬 간단합니다. http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6 에서 확인하십시오 .
나는 그것이 훨씬 간단하고 무료라고 생각합니다.
dsacls를 사용하여 도메인 ACL을 관리 할 수 있습니다.이 시나리오에서 유용 할 수 있다고 생각합니다. 일부 PowerShell-fu와 관련이있을 수 있습니다.