AD中的已validation用户内置组已删除
我有一个大型的AD设置,其中一个已经被解雇的pipe理员,因为未知的原因删除了主题组。
经过一段时间的search,但除了解释什么小组和警告不删除它,我找不到任何东西。
SID是已知的,所以我想知道是否我创build了一个具有相同名称和SID的新组,是否足以解除设置,或者组删除是否会导致AD架构残骸?
解决这个问题的一系列步骤(除了find那个做这个并造成严重伤害的天才之外)是值得欢迎的
- 活动目录重命名已断开连接的计算机
- 将用户帐户限制为“仅”远程Powershell会话
- 解决组策略问题?
- Active Directory域重命名与迁移?
- Active Directory组没有出现在新的服务器上?
谢谢
您不能删除'NT Authority \ Authenticated Users'(SID S-1-5-11)组。
您也无法在“AD用户和计算机”中查看此组,这可以解释为什么您无法使用该工具查看该组。
例如,它不是像“DOMAIN \ Domain Admins”那样的“真实”安全组。 “Authenticated Users”的成员身份是dynamic生成的,代表了所有通过身份validation的人员。
编辑:实际上,您可以在ForeignSecurityPricipals容器中将其视为外部安全主体。 我直言不讳地说你在ADUC中看不到它。 但请记住,这个FSP不是实际的对象本身。 你甚至可以删除那个FSP …我只是在我的实验室里看到会发生什么。 但是删除FSP与删除它所表示的对象并不相同。 您仍然可以parsingSID进行命名,当您login到服务器( whoami /groups ,)时仍然可以在令牌中获得NT AUTHORITY \ Authenticated Users,并且仍然可以将Authenticated Users组分配给ACL。 所有的电脑都明白这个着名的SID。 在我的testing领域似乎没有任何突破…
我能够通过将其添加到一个组来重新创build外部安全主pipe。 (例如,我将其添加到“用户”组中)。引用它的行为导致目录服务引擎自动在其所属的ForeignSecurityPrincipals容器中重新创buildFSP。
我意识到,这可能不再与你的实际问题有任何关系 – 我现在已经在野草丛中了 – 但是我认为这很整齐。 以下是我在我的域中删除了“Authenticated Users”外部安全主pipe,并重新启动了我的数据中心。 即使FSP早已消失,我仍然可以翻译SID S-1-5-11:
(然后我重新将FSP添加到上面提到的一个组中。)
我会把这个作为回答,因为这是做事的标准方式。 这不是修复(我希望有人发表一个好的技术答案,他们应该得到答案),但这是一个保证的方式来获得修复,绝对是未来的读者应该知道的一个选项。
用Microsoft PSS打开一张票。 这将是值得的$ 125左右。
/编辑 – 瑞安是一个很好的观点,它可能不会被删除。 您应该更全面地描述您所看到的问题以及迄今为止所做的故障排除。