在Windows ACL(NTFS文件/文件夹,registry,AD对象等)中以“帐户未知(SID)”的名称查看条目并不罕见。 很明显,这是因为旧的AD用户或组在某些时候具有在相关对象上手动configuration的权限,并且已经被删除。
有谁知道是否可以安全地删除这些“账户未知”ACE?
我的直觉就是应该没问题,但是我想知道有没有人有过去的经历,这样做会造成麻烦?
通常我只是忽略这些,但是我现在工作的公司似乎有一个exception的数量,这很可能是由于过去的pipe理员对AD / Windows的经验不足以及给用户帐户分配权限而不是各种奇怪的组地方。
FWIW,我们的环境并不复杂,一个域名森林,3个站点有4个DC,所有的networking连接和复制都是健康的,所以我确定这些“账户未知”条目真的是旧账户,而不仅仅是因为一些未能将SIDparsing为人类可读的名称。
只要你没有连接问题,是的,删除它们是安全的。 请小心,因为如果无法连接到AD,Windows将显示“帐户未知”,或者如果您有多个域,则可能需要一些时间才能跨越域边界等。
备份并继续。
假设您没有任何其他域的信任,并且如前所述,任何networking连接问题。
您可以使用xcacls.exe或icacls.exe(Vista及以上版本)对ACL进行备份。它们的格式可以是复制粘贴并将其重新应用回来。