geo*_*ffc 9 active-directory tombstones
作为对我的问题的跟进,是否在 AD 中为已删除的用户清除反向链接,我还有另一个相关但不同的问题。
由于我在那里的答案中获悉,已删除对象的 SID(组或用户,因此将权限分配给组只会最小化问题,而不是解决问题)将保留在它们已分配的 ACE 内,使它们成为孤立对象。
Lotus Domino 也有类似的反向引用问题,它有一个 adminp 进程来清理这些孤立的引用。
AD 中是否有类似的过程可以让您清理在您的域中浮动的此类孤立 SID?
我还没有测试过这个,所以请原谅我的先发制人的帖子(但我没有测试域并且不打算在生产中测试它)但也许你正在寻找 SUBINACL。在这里下载
subinacl.exe /help /cleandeletedsidsfrom提供以下内容:
/cleandeletedsidsfrom=domain[=dacl|sacl|owner|primarygroup|all]
delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.
看来您可以将此与/samobject开关一起使用以应用于用户或组。
| 归档时间: |
|
| 查看次数: |
11082 次 |
| 最近记录: |