¿Cómo limpiar SID huérfanos en ACE en AD?

9

Como seguimiento a mi pregunta ¿Borrar los vínculos de retroceso en AD para usuarios eliminados? Tengo otra pregunta relacionada pero diferente.

Como se me informa en las respuestas allí, el SID de un objeto eliminado (Grupo o Usuario, por lo que asignar derechos a un grupo solo minimiza el problema y no lo soluciona) permanecerá dentro de las ACE que se les han asignado, dejándolos huérfanos.

Lotus Domino, que tiene problemas similares con las referencias anteriores, tiene un proceso de administración para limpiar tales referencias huérfanas.

¿Existe un proceso similar en AD que le permita limpiar esos SID huérfanos que flotan alrededor de su dominio?

active-directory tombstones geoffc
fuente
2
No conozco una forma automática de hacer esto, de ahí un comentario en lugar de una respuesta. Sospecho que esto es un liar su propia solución y también estoy interesado en las respuestas. La utilidad de Microsoft dsaclsse puede usar para administrar las ACL de dominio, lo que creo que podría ser útil en este escenario ... Posiblemente en conjunto con algunos PowerShell-fu.
jscott
1
Extraño, esto debe ser un problema común, o de lo contrario a nadie le importan los SID huérfanos ...
geoffc

Respuestas:

7

No he probado esto, así que perdona mi publicación preventiva (pero no tengo un dominio de prueba y no planeo probar esto en producción), pero tal vez estés buscando SUBINACL. Descárgalo aquí

subinacl.exe / help / cleandeletedsidsfrom proporciona lo siguiente:

/ cleandeletedsidsfrom = dominio [= dacl | sacl | propietario | primarygroup | todos]

delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.

Parece que puede usar esto con el modificador / samobject para aplicarlo a Usuarios o Grupos.

Jordan W.
fuente
1

¿Qué tal si usamos una herramienta como Security Explorer? Es como el Explorador de Windows con esteroides, y puede ubicar y eliminar de manera centralizada los SID huérfanos para limpiarlos. www.securityexplorer.com.

Eric Peterson
fuente
Security Explorer, $ 445.00 por 30 días de uso. No, gracias Dell.
Gordon Bell
0

Es un aspecto de la herramienta, pero DatAdvantage hace esto y un montón de otros sistemas de gestión / limpieza de archivos / directorios.

Mike Buckbee
fuente
-1

Recientemente me encontré con este problema cuando trabajaba con un cliente y, en lugar de pasar por todo el PowerShell y otras cosas con las que tenía problemas, escribí un programa rápido con una GUI para eliminar todas las cuentas fantasmas. Esto es mucho más simple. Por favor échale un vistazo en http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

Creo que es mucho más simple y es gratis.

Chris Snyder
fuente