AD中已验证的用户内置组已删除
dya*_*sny 2 active-directory groups undelete
我有一个大型的 AD 设置,其中一位已经被解雇的管理员出于未知原因删除了主题组。
谷歌搜索了一段时间,但除了解释该组的用途和警告不要删除它之外,我找不到任何东西。
SID 是已知的,所以我想知道我是否创建了一个具有相同名称和 SID 的新组,这是否足以解除设置,或者组删除是否会导致 AD 架构破坏?
一系列解决这个问题的步骤(除了找到做这件事的天才并造成严重伤害)是非常受欢迎的
谢谢
您不能删除“NT Authority\Authenticated Users”(SID S-1-5-11) 组。
您也无法在 AD 用户和计算机中查看此组,这将解释为什么您无法使用该工具查看它。
例如,它不像“DOMAIN\Domain Admins”那样是“真正的”安全组。“经过身份验证的用户”的成员资格是动态生成的,代表已通过身份验证可以执行域的每个人。
编辑:实际上,您可以将其视为 ForeignSecurityPricipals 容器中的外国安全主体。我直言不讳地说你在 ADUC 中看不到它是错误的。但请记住,这个 FSP 并不是实际的对象本身。你甚至可以删除那个 FSP ……我只是在我的实验室里这样做,看看会发生什么。但是删除 FSP 与删除它所代表的对象不同。您仍然可以将 SID 解析为名称,当您登录到服务器 ( whoami /groups,)时,您仍然可以在令牌中获得 NT AUTHORITY\Authenticated Users ,并且您仍然可以将 Authenticated Users 组分配给 ACL。所有计算机都理解那个著名的 SID。在我的测试域中似乎没有任何问题......
我能够通过将其添加到组来重新创建外国安全主体。(例如,我将它添加到“用户”组。)引用它的行为导致目录服务引擎在它所属的 ForeignSecurityPrincipals 容器中自动重新创建 FSP。
我意识到这可能不再与您的实际问题有关 - 我现在陷入困境 - 但我认为这很整洁。这是我在我的域中删除了“经过身份验证的用户”外部安全主体并重新启动了我的两个 DC 的域中的我。即使 FSP 早已不复存在,我仍然能够翻译 SID S-1-5-11:
(然后我通过将其添加到如上所述的组中来重新创建 FSP。)