Windows ACL (NTFS ファイル/フォルダ、レジストリ、AD オブジェクトなど) に「アカウント不明 (SID)」という名前のエントリが表示されることは珍しくありません。明らかに、これらは、関連するオブジェクトに対して権限が手動で設定された古い AD ユーザーまたはグループが削除されたために発生します。
これらの「アカウント不明」ACE を削除しても安全かどうか知っている人はいますか?
直感的には問題ないと思うのですが、これをやってトラブルが起きたという経験のある方はいらっしゃいますか?
通常、私はこれらを無視するだけですが、現在勤務している会社では、これらの数が異常に多いようです。これは、過去の管理者が AD/Windows に不慣れで、さまざまな奇妙な場所でグループではなくユーザー アカウントに権限を割り当てていたことが原因であると考えられます。
ちなみに、私たちの環境は複雑ではなく、単一のドメイン フォレスト、3 つのサイトに 4 つの DC、すべてのネットワーク接続とレプリケーションが正常であるため、これらの「アカウント不明」エントリは実際には古いアカウントであり、SID を人間が判読できる名前に解決できなかったことが原因ではないことは確かです。
答え1
接続に問題がない限り、削除しても問題ありません。ただし、AD に接続できない場合、Windows に「アカウントが不明です」と表示される場合や、複数のドメインがある場合はドメインの境界を越えるのに数分かかる場合などがあるため、注意してください。
答え2
バックアップを取ってから先に進んでください。
他のドメインとの信頼関係がなく、前述したようにネットワーク接続の問題がないことを前提とします。
xcacls.exe または icacls.exe (Vista 以降) を使用して ACL のバックアップを取ることができます。バックアップは、コピーして貼り付け、再度適用できる形式にすることができます。