web-dev-qa-db-ja.com

Active Directoryでバックリンクをクリアするにはどうすればよいですか? (ドメイン内およびドメイン間)

ADにユーザーがいるとしましょう。彼らは時間の経過とともにあらゆる種類の権利を付与されます。また、ドメインを信頼するリモートドメインからリソースにアクセスできます。

その後、彼らは会社を辞め、あなたは彼らのオブジェクトを削除します。削除されたオブジェクトはトゥームストーンオブジェクトになります。これは、ある種の「削除を取り消す」場合に備えてSIDを保持することを目的としています。

では、SIDが含まれているACEはどうなりますか?ドメイン内では、トゥームストーンの有効期限が切れた後、クリーンアップされると思います。結局のところ、SIDへのすべての参照がすでになくなっている場合、SIDを保持するポイントは何ですか。

リモート信頼ドメインのACEはどうなりますか? ACEなどで孤立したSIDをどのようにクリアしますか?

1
geoffc

では、SIDが含まれているACEはどうなりますか?

削除されたユーザーのACEを含むACLは、ユーザー名の代わりに孤立したSIDを表示します。このACEは、 トゥームストーンの存続期間 の後に削除されません

ドメイン内では、トゥームストーンの有効期限が切れた後、クリーンアップされると思います。結局のところ、SIDへのすべての参照がすでになくなっている場合、SIDを保持するポイントは何ですか。

ACEは、それ自体、およびSIDへの明示的な参照です。孤立したSIDのACEは、削除されない限り、ACLに「永久に」残ります。

リモート信頼ドメインのACEはどうなりますか? ACEなどで孤立したSIDをどのようにクリアしますか?

上記と同じ状況。私が知っている自動の「クリーンアップ」はありません。

この「問題」は、ユーザーごとではなく、グループごとに権限/委任を付与する多くの理由の1つですほとんどすべて。ユーザーが会社を辞めるとき、ユーザーオブジェクトを削除します。ドメイン全体で同じ権限を交換に付与するのは、既存のグループに新しい採用者を追加するのと同じくらい簡単です。

2
jscott