Comment nettoyer les SID orphelins dans les ACE dans AD?

9

Pour faire suite à ma question Faire des backlinks clairs dans AD pour les utilisateurs supprimés J'ai une autre question connexe mais différente.

Comme je suis informé dans les réponses, le SID d'un objet supprimé (groupe ou utilisateur, donc attribuer des droits au groupe ne fait que minimiser le problème et ne le résout pas) restera dans les ACE qui leur ont été attribuées, les laissant orphelins.

Lotus Domino, qui a des problèmes similaires avec les références arrières, a un processus d'administration pour nettoyer ces références orphelines.

Existe-t-il un processus similaire dans AD qui vous permettrait de nettoyer ces SID orphelins flottant autour de votre domaine?

active-directory tombstones geoffc
la source
2
Je ne connais pas de moyen automagique de le faire, d'où un commentaire au lieu d'une réponse. Je soupçonne qu'il s'agit d'une solution à rouler et je suis également intéressé par les réponses. L'utilitaire Microsoft dsaclspeut être utilisé pour gérer les ACL de domaine, ce qui, je pense, pourrait être utile dans ce scénario ... Peut-être en tandem avec certains PowerShell-fu.
jscott
1
Bizarre, cela doit être un problème commun, sinon personne ne se soucie vraiment des SID orphelins ...
Geoffc

Réponses:

7

Je n'ai pas testé cela, alors pardonnez mon article préemptif (mais je n'ai pas de domaine de test et je n'ai pas l'intention de le tester en production) mais peut-être que vous recherchez SUBINACL. Téléchargez-le ici

subinacl.exe / help / cleandeletedsidsfrom fournit les éléments suivants:

/ cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Apparaît que vous pouvez utiliser ce paramètre avec / samobject pour appliquer aux utilisateurs ou aux groupes.

Jordan W.
la source
1

que diriez-vous d'utiliser simplement un outil comme Security Explorer? C'est comme Windows Explorer sur les stéroïdes, et peut localiser et supprimer de manière centralisée les SID orphelins pour les nettoyer. www.securityexplorer.com.

Eric Peterson
la source
Security Explorer, 445,00 $ pour 30 jours d'utilisation. Non merci Dell.
Gordon Bell
0

C'est un aspect de l'outil, mais DatAdvantage fait cela et un tas d'autres gestion et nettoyage systémiques de fichiers / répertoires.

Mike Buckbee
la source
-1

J'ai récemment rencontré ce problème lorsque je travaillais avec un client et au lieu de passer par tous les PowerShell et autres choses avec lesquelles j'avais des problèmes, j'ai écrit un programme rapide avec une interface graphique pour supprimer tous les comptes fantômes. c'est beaucoup plus simple. Veuillez le vérifier sur http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Je pense que c'est beaucoup plus simple et gratuit.

chris snyder
la source