Comment nettoyer les SID orphelins dans les ACE en AD?

À la suite de ma question Les backlinks sont-ils clairs dans AD pour les users supprimés? J'ai une autre question connexe mais différente.

Étant donné que je suis informé dans les réponses que le SID (Groupe ou Utilisateur d'un object supprimé, l'atsortingbution des droits au groupe ne minimise que le problème et ne le corrige pas) restra dans les ACE auxquels ils ont été assignés, les laissant orphelin.

Lotus Domino, qui a des problèmes similaires avec les references arrière, a un process adminp pour nettoyer ces references orphelines.

Existe-t-il un process similaire dans AD qui vous permettrait de nettoyer ces SID orphelins flottants autour de votre domaine?

    Je n'ai pas testé cela, pardonne mon post préemptif (mais je n'ai pas de domaine de test et je ne prévois pas de tester cela en production) mais peut-être que tu search SUBINACL. Téléchargez-le ici

    subinacl.exe / help / cleandeletedsidsfrom fournit ce qui suit:

    / cleandeletedsidsfrom = domain [= dacl | sacl | owner | primarygroup | all]

     delete all ACEs containing deleted (no valid) Sids from DomainName You can specify which part of the security descriptor will be scanned (default=all) If the owner is deleted, new owner will be the Administrators group. If the primary group is deleted, new primary group will be the Users group. 

    Apparait que vous pouvez utiliser ceci avec / commutateur samobject pour postuler à des users ou des groupes.

    Qu'en est-il de l'utilisation d'un outil comme Security Explorer? C'est comme l'Explorateur Windows sur les stéroïdes, et peut centralement localiser et supprimer des SID orphelins pour les nettoyer. http://www.securityexplorer.com.

    C'est un aspect de l'outil, mais DatAdvantage fait cela et d'autres gestion systémique des files / directorys et le nettoyage.

    J'ai récemment rencontré ce problème en travaillant avec un client et au lieu de passer à travers tous les pouvoirs et d'autres choses que j'avais des problèmes avec j'ai écrit un programme rapide avec une interface graphique pour supprimer tous les counts fantômes. C'est beaucoup plus simple. Veuillez le consulter à l' adresse http://chstechsolutions.com/articles/2017/3/1/j8knqicyixvon3byelairoub47mvv6

    Je pense que c'est beaucoup plus simple et c'est gratuit.