Wie bereinige verwaiste SIDs in ACEs in AD bereinigen?

9

Als Folge meiner Frage Löschen Sie in AD Backlinks für gelöschte Benutzer. Ich habe eine andere verwandte, aber andere Frage.

Da ich in den Antworten dort darüber informiert bin, dass die SID eines gelöschten Objekts (Gruppe oder Benutzer, also das Zuweisen von Rechten zur Gruppe minimiert das Problem nur und behebt es nicht) innerhalb der ihnen zugewiesenen ACEs verbleibt und sie verwaist bleiben.

Lotus Domino, das ähnliche Probleme mit früheren Referenzen hat, verfügt über einen Adminp-Prozess, um solche verwaisten Referenzen zu bereinigen.

Gibt es in AD einen ähnlichen Prozess, mit dem Sie solche verwaisten SIDs bereinigen können, die in Ihrer Domain schweben?

active-directory tombstones geoffc
quelle
2
Ich kenne keinen automagischen Weg, dies zu tun, daher ein Kommentar statt eine Antwort. Ich vermute, dass dies eine eigene Lösung ist, und ich bin auch an Antworten interessiert. Das Microsoft-Dienstprogramm dsaclskann zum Verwalten von Domänen-ACLs verwendet werden, was meiner Meinung nach in diesem Szenario hilfreich sein könnte ... Möglicherweise zusammen mit PowerShell-fu.
Jscott
1
Seltsam, dies muss ein häufiges Problem sein, sonst kümmert sich niemand wirklich um verwaiste SIDs ...
Geoffc

Antworten:

7

Ich habe dies nicht getestet, also verzeihen Sie meinen vorbeugenden Beitrag (aber ich habe keine Testdomäne und plane nicht, dies in der Produktion zu testen), aber vielleicht suchen Sie nach SUBINACL. Laden Sie es hier herunter

subinacl.exe / help / cleandeletedsidsfrom bietet Folgendes:

/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Anscheinend können Sie diesen Schalter mit / samobject verwenden , um ihn auf Benutzer oder Gruppen anzuwenden.

Jordan W.
quelle
1

Wie wäre es einfach mit einem Tool wie Security Explorer? Es ist wie Windows Explorer für Steroide und kann verwaiste SIDs zentral suchen und löschen, um sie zu bereinigen. www.securityexplorer.com.

Eric Peterson
quelle
Security Explorer, 445,00 USD für 30 Tage Nutzung. Nein, danke Dell.
Gordon Bell
0

Dies ist ein Aspekt des Tools, aber DatAdvantage erledigt dies und eine Reihe anderer systemischer Datei- / Verzeichnisverwaltungen und -bereinigungen.

Mike Buckbee
quelle
-1

Ich bin kürzlich auf dieses Problem gestoßen, als ich mit einem Client gearbeitet habe, und anstatt all die Powershell und andere Dinge durchzugehen, mit denen ich Probleme hatte, habe ich ein schnelles Programm mit einer GUI geschrieben, um alle Geister-Accounts zu entfernen. das ist viel einfacher. Bitte überprüfen Sie es unter http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Ich denke, es ist viel einfacher und kostenlos.

Chris Snyder
quelle