AD में ACE में अनाथ SID की सफाई कैसे करें?

9

मेरे प्रश्न के अनुवर्ती के रूप में, हटाए गए उपयोगकर्ताओं के लिए AD में स्पष्ट backlinks मैं एक और संबंधित लेकिन अलग प्रश्न है।

चूँकि मुझे वहां के उत्तरों में सूचित किया गया है कि एक हटाए गए ऑब्जेक्ट का SID (समूह या उपयोगकर्ता, इसलिए समूह को अधिकार प्रदान करना केवल समस्या को कम करता है, और इसे ठीक नहीं करता है) ACE के भीतर बने रहेंगे, जो उन्हें सौंपा गया है, उन्हें अनाथ छोड़ दिया गया है।

लोटस डोमिनोज़, जिनके पास संदर्भों के समान मुद्दे हैं, के पास ऐसे अनाथ संदर्भों को साफ करने के लिए एक व्यवस्थापक प्रक्रिया है।

क्या AD में एक समान प्रक्रिया है जो आपको अपने डोमेन के आसपास तैर रहे ऐसे अनाथ SIDs को साफ करने की अनुमति देगी?

active-directory tombstones

— geoffc
स्रोत

2

मुझे ऐसा करने का एक स्वचालित तरीका नहीं पता है, इसलिए उत्तर के बजाय एक टिप्पणी। मुझे संदेह है कि यह एक अपना-अपना समाधान है और मुझे प्रतिक्रियाओं में भी दिलचस्पी है। Microsoft उपयोगिता dsaclsका उपयोग डोमेन ACL को प्रबंधित करने के लिए किया जा सकता है, जो मुझे लगता है कि इस परिदृश्य में उपयोगी हो सकता है ... संभवतः कुछ PowerShell-fu के साथ मिलकर।

— jscott

1

अजीब, यह एक आम समस्या होनी चाहिए, या फिर कोई भी वास्तव में अनाथ SID के बारे में परवाह नहीं करता है ...

— geoffc

7

मैंने इसका परीक्षण नहीं किया है इसलिए मेरे पूर्व-निवेदन को क्षमा कर दें (लेकिन मेरे पास परीक्षण डोमेन नहीं है और उत्पादन में इस परीक्षण की योजना नहीं है) लेकिन शायद आप SUBINACL की तलाश कर रहे हैं। इसे यहाँ डाउनलोड करें

subinacl.exe / help / cleandeletedsidsfrom निम्नलिखित प्रदान करता है:

/ Cleandeletedsidsfrom = डोमेन [= DACL | SACL | मालिक | primarygroup | सभी]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

प्रकट होता है कि आप इसका उपयोग उपयोगकर्ताओं या समूहों पर लागू करने के लिए / samobject स्विच के साथ कर सकते हैं ।

— जॉर्डन डब्ल्यू।
स्रोत

1

कैसे के बारे में सिर्फ सुरक्षा एक्सप्लोरर की तरह एक उपकरण का उपयोग कर? यह स्टेरॉयड पर विंडोज एक्सप्लोरर की तरह है, और उन्हें साफ करने के लिए अनाथ सिड्स का केंद्रीय रूप से पता लगा सकते हैं और हटा सकते हैं। www.securityexplorer.com।

— एरिक पीटरसन
स्रोत

सुरक्षा एक्सप्लोरर, 30 दिनों के उपयोग के लिए $ 445.00। नहीं धन्यवाद डेल।

— गॉर्डन बेल

0

यह उपकरण का एक पहलू है, लेकिन DatAdvantage ऐसा करता है और अन्य प्रणालीगत फ़ाइल / निर्देशिका प्रबंधन और सफाई का एक गुच्छा है।

— माइक बकीबी
स्रोत

-1

मैं हाल ही में एक ग्राहक के साथ काम करते समय इस मुद्दे पर भाग गया था और इसके बजाय मैं सभी भूत खातों को हटाने के लिए GUI के साथ एक त्वरित कार्यक्रम लिखा था कि सभी अधिकार और अन्य सामान के माध्यम से जा रहा था। यह बहुत सरल है। कृपया इसे http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mv6 पर देखें।

मुझे लगता है कि यह बहुत सरल है और यह मुफ़्त है।

— क्रिस स्नाइडर
स्रोत