因此,我们的安全审计员给我发了一封电子邮件,指出我们的服务器的pipe理员组中有几个AD组和账户不应该有pipe理员访问有问题的机器。 当我进入计算机pipe理 – >组 – >pipe理员时,我没有看到任何指定的帐户,但我看到很多条目,如:
S-1-5-21-484763869-823518204-83922115-105014
这是在Windows Server 2000机器上。 显然,必须有一种方法来获取纯文本的帐户列表,因为审计人员向我发送了一个电子表格,其中包含每台机器上的帐户列表,但是我不确定如何让它们正确显示在屏幕上,我可以添加/从该组中删除帐户。
你看到的是对象的SID(安全标识符) 。 通常,Windows已经足够好了,可以在安全性对话框中自动将此SID转换为用户的显示名称,以便您不必寻找它,但是如果ACL正在访问时无法联系域控制器看,你会看到一个SID。 如果用户/组/计算机不再存在于Active Directory中,您还将看到此SID。
如果您看到SID和显示名称的混合,那么您可能正在查看AD中已删除的内容。 如果您只查看SID的完整列表,那么您的目录服务环境出了问题,您应该弄清楚为什么此服务器无法联系DC来显示此翻译。 您可能有一个域控制器脱机或networking问题。
虽然SID是一个可search的属性。 因此,您可以使用ADUCpipe理单元或PowerShell或您可能已经熟悉的任何其他方法来查询AD。