ADのACEで孤立したSIDをクリーンアップする方法は?
私の質問のフォローアップとして 削除されたユーザーに対してADでバックリンクをクリアしてください 別の関連する質問があります。
回答では、削除されたオブジェクトのSID(グループまたはユーザー、つまりグループへのアクセス権を割り当てると問題が最小限に抑えられ、修正されない)が通知されるため、割り当てられたACE内に残り、孤立します。
Lotus Dominoには、後方参照に関して同様の問題があり、孤立した参照をクリーンアップするためのadminpプロセスがあります。
ドメイン内に浮かんでいる孤立したSIDをクリーンアップできるADの同様のプロセスはありますか?
私はこれをテストしていないので、プリエンプティブポストを許します(ただし、テストドメインがなく、これを本番環境でテストする予定はありません)。おそらくSUBINACLを探しています。ダウンロード ここ
subinacl.exe/help/cleandeletedsidsfromは以下を提供します:
/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]
delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.
これを/ samobjectスイッチと一緒に使用してユーザーまたはグループに適用できるようです。
security Explorerのようなツールを使用するのはどうですか?それはステロイドのWindows Explorerのようなもので、孤立したSIDを一元的に見つけて削除し、それらをクリーンアップできます。 www.securityexplorer.com。
これはツールの1つの側面ですが、 DatAdvantage がこれを実行し、他の体系的なファイル/ディレクトリの管理とクリーンアップを行います。