作为对我的问题的后续行为在AD中清除反向链接的删除用户我有另一个相关但不同的问题。
因为在答案中我得到通知,被删除对象的SID(组或用户,因此为组分配权限只会最小化问题,并且不会解决问题)将保留在已分配的ACE中,使其孤立。
Lotus Domino与后端引用有类似的问题,它有一个adminp进程来清除这些孤立的引用。
AD中是否有一个类似的stream程可以清理你的域名上的孤岛SID?
我没有testing过,所以原谅我的抢先发帖(但我没有testing域,不打算在生产testing这个),但也许你正在寻找SUBINACL。 在这里下载
subinacl.exe / help / cleandeletedsidsfrom提供以下内容:
/ cleandeletedsidsfrom =域[= DACL | SACL |业主| primarygroup |所有]
delete all ACEs containing deleted (no valid) Sids from DomainName You can specify which part of the security descriptor will be scanned (default=all) If the owner is deleted, new owner will be the Administrators group. If the primary group is deleted, new primary group will be the Users group.
出现可以使用此/ samobject开关应用于用户或组。
如何使用像安全浏览器的工具? 这就像类似的Windows资源pipe理器,可以集中定位和删除孤立的SID来清理它们。 http://www.securityexplorer.com。
这是该工具的一个方面,但是DatAdvantage可以完成这些工作,还有一些其他的系统文件/目录pipe理和清理工作。
我最近碰到这个问题时,与客户端的工作,而不是通过所有的PowerShell和其他东西,我有问题,我写了一个GUI的快速程序,以删除所有的幽灵帐户。 这简单得多。 请查看http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6
我认为它更简单,而且是免费的。