私の質問のフォローアップとして、削除されたユーザーに対してADでバックリンクをクリアしてください。
回答で、削除されたオブジェクトのSID(グループまたはユーザー、つまりグループに権限を割り当てると問題が最小限に抑えられ、修正されない)が通知されるため、割り当てられたACE内に残り、孤立したままになります。
Lotus Dominoには、後方参照に関して同様の問題があり、孤立した参照をクリーンアップするためのadminpプロセスがあります。
ドメイン内に浮かぶこのような孤立したSIDをクリーンアップできるようにするADの同様のプロセスはありますか?
回答:
私はこれをテストしていないので、先制の投稿は許します(ただし、テストドメインがなく、これを本番環境でテストする予定はありません)。おそらくSUBINACLを探しています。ここからダウンロード
subinacl.exe / help / cleandeletedsidsfromは以下を提供します:
/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]
delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.
これを/ samobjectスイッチと共に使用して、ユーザーまたはグループに適用できるようです。
Security Explorerのようなツールを使用するのはどうですか?これはステロイドのWindowsエクスプローラーのようなもので、孤立したSIDを一元的に見つけて削除し、それらをクリーンアップできます。www.securityexplorer.com。
これはツールの1つの側面ですが、DatAdvantageがこれを実行し、その他の体系的なファイル/ディレクトリの管理とクリーンアップを行います。
私は最近、クライアントで作業しているときにこの問題に遭遇しましたが、Powershellやその他の問題をすべて解決する代わりに、GUIを使用してゴーストアカウントをすべて削除する簡単なプログラムを作成しました。これははるかに簡単です。http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6で確認してください。
私はそれがはるかに簡単で無料だと思います。
dsaclsを使用してドメインACLを管理できます。これは、このシナリオで役立つと思います...おそらくPowerShell-fuと連携して。