Come ripulire i SID orfani negli ACE in AD?

9

A seguito della mia domanda, deselezionare i backlink in AD per gli utenti eliminati ho un'altra domanda correlata ma diversa.

Dato che sono stato informato nelle risposte lì che il SID di un oggetto eliminato (Gruppo o Utente, quindi l'assegnazione dei diritti al gruppo minimizza solo il problema e non lo risolve) rimarrà all'interno degli ACE a cui sono stati assegnati, lasciandoli orfani.

Lotus Domino, che ha problemi simili con i riferimenti posteriori, ha un processo adminp per ripulire tali riferimenti orfani.

Esiste un processo simile in AD che ti consentirebbe di ripulire tali SID orfani che fluttuano nel tuo dominio?

active-directory tombstones

— geoffc
fonte

2

Non conosco un modo automagico per farlo, quindi un commento invece di una risposta. Ho il sospetto che questo è un roll-your-own soluzione e sono anche interessato a risposte. L'utilità Microsoft dsaclspuò essere utilizzata per gestire gli ACL di dominio, che a mio avviso potrebbero essere utili in questo scenario ... Forse in combinazione con alcuni PowerShell-fu.

— jscott,

1

Strano, questo deve essere un problema comune, altrimenti nessuno si preoccupa davvero dei SID orfani ...

— geoffc,

7

Non l'ho testato, quindi perdona il mio post preventivo (ma non ho un dominio di prova e non ho intenzione di testarlo in produzione) ma forse stai cercando SUBINACL. Scaricalo qui

subinacl.exe / help / cleandeletedsidsfrom fornisce quanto segue:

/ Cleandeletedsidsfrom = dominio [= DACL | SACL | proprietario | primaryGroup | all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Sembra che puoi usarlo con l' opzione / samobject per applicare a Utenti o Gruppi.

— Jordan W.
fonte

1

che ne dici di usare uno strumento come Security Explorer? È come Windows Explorer sugli steroidi e può localizzare ed eliminare centralmente i SID orfani per ripulirli. www.securityexplorer.com.

— Eric Peterson
fonte

Security Explorer, $ 445,00 per 30 giorni di utilizzo. No grazie Dell.

— Gordon Bell,

0

È un aspetto dello strumento, ma DatAdvantage fa questo e un sacco di altri sistemi sistematici di gestione e pulizia di directory / file.

— Mike Buckbee
fonte

-1

di recente ho riscontrato questo problema quando lavoravo con un client e invece di esaminare tutta la PowerShell e altre cose con cui avevo problemi ho scritto un programma rapido con una GUI per rimuovere tutti gli account fantasma. questo è molto più semplice. Dai un'occhiata a http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Penso che sia molto più semplice ed è gratuito.

— Chris Snyder
fonte