可以说你有一个在AD的用户。 他们获得各种权利随着时间的推移。 他们还可以在信任您的域的远程域中访问资源。
然后他们离开公司,你删除他们的对象。 被删除的对象成为一个墓碑对象,这意味着保存SID,以防您想要“取消删除”它们。
那么ACE的SID在哪里呢? 在这个领域里,我的猜测是墓碑到期后,它会被清理干净。 毕竟,如果所有对SID的引用都已经消失,那么保留SID又有什么意义呢?
远程信任域中的ACE会发生什么? 如何清除ACE中的孤儿SID?
那么ACE的SID在哪里呢?
任何包含已删除用户的ACE的ACL都将显示孤立的SID而不是用户名。 这个ACE在墓碑生命周期后不会被删除。
在这个领域里,我的猜测是墓碑到期后,它会被清理干净。 毕竟,如果所有对SID的引用都已经消失,那么保留SID又有什么意义呢?
ACE本身就是对SID的明确引用。 除非删除,否则孤儿SID的ACE将保持“永远”在ACL中。
远程信任域中的ACE会发生什么? 如何清除ACE中的孤儿SID?
与上述情况相同。 我不知道自动“清理”。
这个“问题”是授予每个组的权限/授权的原因之一,而不是每个用户授予大多数所有的权限。 当用户离开公司时,你删除他们的用户对象。 在整个域中授予他们相同的权限就像将新雇员添加到现有组一样简单。