最近、Active Directory 内のすべてのオブジェクトの「セキュリティ」タブに、次の 2 つの奇妙なリストがあることに気付きました。
アカウント不明 (S-1-5-21-#########-#########-#########-1835)
アカウント不明 (S-1-5-21-#########-#########-#########-1835)
これらのエントリは、Active Directory (DC=contoso,DC=local) のルートから継承されます。少なくとも数か月、おそらく数年間はそこに存在しています。これは、私の前の管理者と関係があるのではないかと考えましたが、さらに奇妙なことに気付きました。
高度なセキュリティ設定を見ると、実際には、名前の付いたエントリが数十個ありますが、これらのエントリには実際には権限が付与されていません。一見何もしないエントリ (30 個以上) が大量にあります (「Create msExchDynamicDistributionLi...」を付与する 1 つのエントリを除く)。数か月前にパイロット プロジェクトとしてドメインに Exchange Server が存在しましたが、現在は Exchange Server を実行していません。また、将来的にも再び実行される可能性があります。
そこでいくつか質問があります。
ルートでこれらのエントリを削除しても安全でしょうか? 重要なものがこのように表示されるとは思えません。
ルートで正しい権限をリセットする適切な方法はありますか? 高度なセキュリティ設定に、「デフォルトに戻す」というボタンがあります。押すのに少し躊躇しますが、これが私の希望どおりのようです。
Active Directory の ACL を監査するためのツールを誰かお勧めいただけませんか? これまで長い間これを見逃していたのなら、おそらく他にも何か見逃しているものがあるはずです。
答え1
見るほぼ同じ質問の別の投稿。