ドメイン環境でWindows ACLから「不明なアカウント」エントリを削除しても安全ですか?
「アカウント不明(SID)」という名前のエントリがWindows ACL(NTFSファイル/フォルダ、レジストリ、ADオブジェクトなど)に表示されることは珍しくありません。明らかに、これらは古いADユーザーまたはグループが原因で、ある時点で、関連するオブジェクトに対して手動で構成されたアクセス許可があり、その後削除されました。
これらの「アカウント不明」ACEを削除しても安全かどうか誰かが知っていますか?
私の直感はそれでいいのだと思いますが、これを行うことで問題が発生した過去の経験はありますか?
通常、私はこれらを無視しますが、現在働いている会社には異常な数があるようです。これはおそらく、過去の管理者がAD/Windowsに不慣れであり、あらゆる種類の奇妙なグループではなくユーザーアカウントにアクセス許可を割り当てているためです。場所。
FWIW、私たちの環境は複雑ではなく、単一のドメインフォレスト、3つのサイトに4つのDCがあり、すべてのネットワーク接続とレプリケーションが正常であるため、これらの「アカウント不明」エントリは、一部の理由だけでなく、本当に古いアカウントであると確信しています。 SIDを人間が読める名前に解決できない。
接続の問題がない限り、はい、削除しても安全です。 WindowsがADに接続できない場合、または複数のドメインがある場合、ドメインの境界を越えるのに少し時間がかかるなどの場合、Windowsに「アカウント不明」と表示されるので注意してください。
バックアップを取って先に進んでください。
他のドメインとの信頼関係がなく、前に指摘したように、ネットワーク接続の問題があると仮定します。
xcacls.exeまたはicacls.exe(Vista以降)を使用してACLのバックアップをとることができます。それらは、コピーして貼り付け、再適用できるような形式にすることができます。