ADにユーザーがいるとしましょう。彼らは時間の経過とともにあらゆる種類の権利を付与されます。また、ドメインを信頼するリモートドメインからリソースにアクセスできます。
その後、彼らは会社を辞め、あなたは彼らのオブジェクトを削除します。削除されたオブジェクトはトゥームストーンオブジェクトになります。これは、ある種の「削除を取り消す」場合に備えてSIDを保持することを目的としています。
では、SIDが含まれているACEはどうなりますか?ドメイン内では、トゥームストーンの有効期限が切れた後、クリーンアップされると思います。結局のところ、SIDへのすべての参照がすでになくなっている場合、SIDを保持するポイントは何ですか。
リモート信頼ドメインのACEはどうなりますか? ACEなどで孤立したSIDをどのようにクリアしますか?
では、SIDが含まれているACEはどうなりますか?
削除されたユーザーのACEを含むACLは、ユーザー名の代わりに孤立したSIDを表示します。このACEは、 トゥームストーンの存続期間 の後に削除されません。
ドメイン内では、トゥームストーンの有効期限が切れた後、クリーンアップされると思います。結局のところ、SIDへのすべての参照がすでになくなっている場合、SIDを保持するポイントは何ですか。
ACEは、それ自体、およびSIDへの明示的な参照です。孤立したSIDのACEは、削除されない限り、ACLに「永久に」残ります。
リモート信頼ドメインのACEはどうなりますか? ACEなどで孤立したSIDをどのようにクリアしますか?
上記と同じ状況。私が知っている自動の「クリーンアップ」はありません。
この「問題」は、ユーザーごとではなく、グループごとに権限/委任を付与する多くの理由の1つですほとんどすべて。ユーザーが会社を辞めるとき、ユーザーオブジェクトを削除します。ドメイン全体で同じ権限を交換に付与するのは、既存のグループに新しい採用者を追加するのと同じくらい簡単です。