Bra*_*don 0 groups windows-server-2000 user-accounts
因此,我们的安全审核员向我发送了一封电子邮件,指出我们的其中一台服务器的管理员组中有一些 AD 组和帐户不应该具有对相关机器的管理员访问权限。当我进入计算机管理--> 组--> 管理员时,我没有看到任何指示的帐户,但我看到了很多条目,例如:
S-1-5-21-484763869-823518204-83922115-105014
这是在 Windows Server 2000 机器上。显然必须有一种方法来获取帐户的纯文本列表,因为审计员向我发送了一个包含每台机器上帐户列表的电子表格,但我不确定如何让它们正确显示在我可以添加的屏幕上/从组中删除帐户。
您看到的是object 的 SID(安全标识符)。通常,Windows 已经足够好,可以在“安全”对话框中为您自动将此 SID 转换为用户的显示名称,这样您就不必寻找它,但如果在 ACL 执行时无法联系域控制器查看,你会看到一个 SID。如果 Active Directory 中不再存在用户/组/计算机,您还将看到此 SID。
如果您看到 SID 和显示名称的混合,那么您可能看到的是 AD 中已删除的内容。如果您正在查看仅包含 SID 的完整列表,那么您的目录服务环境有问题,您应该弄清楚为什么此服务器无法联系 DC 以向您显示此翻译。您可能有一个域控制器脱机或网络问题。
不过,SID 是一个可搜索的属性。因此,您可以使用 ADUC 管理单元、PowerShell 或您可能已经熟悉的任何其他方法来查询 AD。