web-dev-qa-db-ja.com

ADのACEで孤立したSIDをクリーンアップする方法は?

私の質問のフォローアップとして 削除されたユーザーに対してADでバックリンクをクリアしてください 別の関連する質問があります。

回答では、削除されたオブジェクトのSID(グループまたはユーザー、つまりグループへのアクセス権を割り当てると問題が最小限に抑えられ、修正されない)が通知されるため、割り当てられたACE内に残り、孤立します。

Lotus Dominoには、後方参照に関して同様の問題があり、孤立した参照をクリーンアップするためのadminpプロセスがあります。

ドメイン内に浮かんでいる孤立したSIDをクリーンアップできるADの同様のプロセスはありますか?

9
geoffc

私はこれをテストしていないので、プリエンプティブポストを許します(ただし、テストドメインがなく、これを本番環境でテストする予定はありません)。おそらくSUBINACLを探しています。ダウンロード ここ

subinacl.exe/help/cleandeletedsidsfromは以下を提供します:

/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

これを/ samobjectスイッチと一緒に使用してユーザーまたはグループに適用できるようです。

7
Jordan W.

security Explorerのようなツールを使用するのはどうですか?それはステロイドのWindows Explorerのようなもので、孤立したSIDを一元的に見つけて削除し、それらをクリーンアップできます。 www.securityexplorer.com。

1
Eric Peterson

これはツールの1つの側面ですが、 DatAdvantage がこれを実行し、他の体系的なファイル/ディレクトリの管理とクリーンアップを行います。

0
Mike Buckbee