Como limpar os SIDs órfãos nas ACEs no AD?

9

Como acompanhamento da minha pergunta Os backlinks são claros no AD para usuários excluídos Eu tenho outra pergunta relacionada, mas diferente.

Como sou informado nas respostas que o SID de um objeto excluído (Grupo ou Usuário, portanto, atribuir direitos ao grupo apenas minimiza o problema e não o corrige) permanecerá nas ACEs que foram atribuídas, deixando-os órfãos.

O Lotus Domino, que possui problemas semelhantes com as referências anteriores, possui um processo adminp para limpar essas referências órfãs.

Existe um processo semelhante no AD que permita limpar esses SIDs órfãos flutuando em seu domínio?

active-directory tombstones

— geoffc
fonte

2

Não conheço uma maneira automagica de fazer isso, portanto, um comentário em vez de resposta. Eu suspeito que este é um roll-seu-próprio solução e eu também estou interessado nas respostas. O utilitário Microsoft dsaclspode ser usado para gerenciar ACLs de domínio, o que acho que poderia ser útil nesse cenário ... Possivelmente em conjunto com alguns PowerShell-fu.

— Jscott #

1

Odd, este deve ser um problema comum, ou então ninguém realmente se preocupa com o SID órfão ...

— geoffc

7

Eu não testei isso, então perdoe minha postagem preemptiva (mas não tenho um domínio de teste e não pretendo testá-lo em produção), mas talvez você esteja procurando por SUBINACL. Faça o download aqui

O subinacl.exe / help / cleandeletedsidsfrom fornece o seguinte:

/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Parece que você pode usar isso com a opção / samobject para aplicar a Usuários ou Grupos.

— Jordan W.
fonte

1

Que tal usar apenas uma ferramenta como o Security Explorer? É como o Windows Explorer em esteróides, e pode localizar e excluir centralmente SIDs órfãos para limpá-los. www.securityexplorer.com.

— Eric Peterson
fonte

Security Explorer, US $ 445,00 por 30 dias de uso. Não, obrigado Dell.

— Gordon Bell

0

É um aspecto da ferramenta, mas o DatAdvantage faz isso e vários outros gerenciamento e limpeza de arquivos / diretórios sistêmicos.

— Mike Buckbee
fonte

-1

Recentemente, deparei-me com esse problema ao trabalhar com um cliente e, em vez de passar por todo o PowerShell e outras coisas com as quais estava tendo problemas, escrevi um programa rápido com uma GUI para remover todas as contas fantasmas. isso é muito mais simples. Verifique em http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Eu acho que é muito mais simples e gratuito.

— chris snyder
fonte