none
"Неизвестная уч.запись" в "безопасности" объектов AD RRS feed

  • Вопрос

  • Коллеги, доброго времени суток.

    Так вышло, что по наследству достался DC, состоящий из 2х DC (2008 и 2012r2), с Лесом 2003.

    Исходя из первичного анализа сразу заметно, что насиловали его изрядно, причем разные люди, но сейчас не об этом.

    В "Безопасности" любого из объектов (старых/новых), фигурирует целая куча обезличенных SID`ов.

    Не хитрые выводы подсказываю, что это есть уже удалённые учётные записи, но они тянутся везде, в т.ч. при создании новых объектов.

    Вопросов 2:

    1. Либо это было делегирование, лио руками кто-то кривил. Но из "безопасности" domain name я их могу убрать, что бы не наследовались. Это не будет ошибкой?

    2. Ни какой корзины AD нет, но очень бы хотелось преобразовать эти SID в имена, что бы понять что за люди были уполномочены. Как-то возможно сделать?

    29 апреля 2019 г. 4:12

Ответы

  • 1. На всякий случай, проверьте что эти учетные записи - они из вашего домена: посмотрите, совпадает ли SID домена (все группы цифр в SID, кроме последней) для SID неизвестной учетной записи и какой-нибудь существующей учетной записи в домене (SID существующей учетной записи проще всего посмотреть в выдаче Get-ADUser учетная_запись в Powershell. Если совпадают, то их можно удалять смело - объекты с этими SID создать невозможно. Если нет, то, теоретически, эти SID могут остаться в атрибутах SIDHistory мигрированных из другого домена учетных записей. В таком случае надо бы убедиться (поиском), что эти атрибуты у четных записей и групп в домене пусты.

    2. Удаленные учетные записи и группы по прошествии определенного времени (сейчас по умолчанию 180 дней, но если домен имеет древнюю историю, то это может быть и 60 дней) удаляются из базы данных AD без следа. Так что посмотреть вы вряд ли что-нибудь сможете.


    Слава России!

    29 апреля 2019 г. 9:46

Все ответы

  • 1. На всякий случай, проверьте что эти учетные записи - они из вашего домена: посмотрите, совпадает ли SID домена (все группы цифр в SID, кроме последней) для SID неизвестной учетной записи и какой-нибудь существующей учетной записи в домене (SID существующей учетной записи проще всего посмотреть в выдаче Get-ADUser учетная_запись в Powershell. Если совпадают, то их можно удалять смело - объекты с этими SID создать невозможно. Если нет, то, теоретически, эти SID могут остаться в атрибутах SIDHistory мигрированных из другого домена учетных записей. В таком случае надо бы убедиться (поиском), что эти атрибуты у четных записей и групп в домене пусты.

    2. Удаленные учетные записи и группы по прошествии определенного времени (сейчас по умолчанию 180 дней, но если домен имеет древнюю историю, то это может быть и 60 дней) удаляются из базы данных AD без следа. Так что посмотреть вы вряд ли что-нибудь сможете.


    Слава России!

    29 апреля 2019 г. 9:46
  • Получается, что учётные записи всё же "текущего домена".

    Например, SID неизвестной уч. записи:

    Неизвестная учетная запись:

    S-1-5-21-3458954343-2058295909-3575972413-3030

    Действующая учётка:

    S-1-5-21-3458954343-2058295909-3575972413-3288

    Значит, смело могу удалять?

    29 апреля 2019 г. 11:20
  • Ну, смело или нет - это вам решать.

    Только вот зачем вообще удалять? Вам эти разрешения чем-то мешают?


    Слава России!

    29 апреля 2019 г. 11:29
  • Ну, смело или нет - это вам решать.

    Только вот зачем вообще удалять? Вам эти разрешения чем-то мешают?


    Слава России!


    Их как-то очень много и при просмотре атрибутов безопасности - целая куча.
    30 апреля 2019 г. 4:35