Es ist nicht ungewöhnlich, Einträge in Windows-ACLs (NTFS-Dateien/-Ordner, Registrierung, AD-Objekte usw.) mit dem Namen „Konto unbekannt (SID)“ zu sehen. Offensichtlich handelt es sich dabei um alte AD-Benutzer oder -Gruppen, für die irgendwann einmal manuell Berechtigungen für das entsprechende Objekt konfiguriert wurden und die inzwischen gelöscht wurden.
Weiß jemand, ob es sicher ist, diese „Konto unbekannt“-ACEs zu entfernen?
Mein Bauchgefühl sagt mir, dass es kein Problem sein sollte, aber ich frage mich, ob jemand in der Vergangenheit schon einmal erlebt hat, dass dies zu Problemen geführt hat?
Normalerweise ignoriere ich diese einfach, aber in der Firma, in der ich jetzt arbeite, scheint es davon ungewöhnlich viele zu geben. Das liegt wahrscheinlich an der mangelnden Erfahrung früherer Administratoren mit AD/Windows und daran, dass sie an allen möglichen seltsamen Stellen Berechtigungen Benutzerkonten statt Gruppen zugewiesen haben.
Unsere Umgebung ist nicht komplex, eine einzelne Domänengesamtstruktur, 4 DCs an 3 Standorten, die gesamte Netzwerkverbindung und Replikation ist in Ordnung, daher bin ich sicher, dass es sich bei diesen „Konto unbekannt“-Einträgen um wirklich alte Konten handelt und nicht nur um einen Fehler bei der Auflösung der SID in einen menschenlesbaren Namen.
Antwort1
Solange Sie keine Verbindungsprobleme haben, können Sie sie bedenkenlos löschen. Seien Sie jedoch vorsichtig, denn Windows zeigt „Konto unbekannt“ an, wenn keine Verbindung zu AD hergestellt werden kann, oder wenn Sie mehrere Domänen haben, kann es einige Augenblicke dauern, bis die Domänengrenzen überschritten werden usw.
Antwort2
Erstellen Sie eine Sicherungskopie, und fahren Sie fort.
Vorausgesetzt, Sie haben keine Vertrauensstellungen mit anderen Domänen und, wie bereits erwähnt, keine Probleme mit der Netzwerkkonnektivität.
Sie können mit xcacls.exe oder icacls.exe (Vista und höher) Sicherungskopien der ACLs erstellen. Sie können in einem Format vorliegen, das Sie kopieren, einfügen und erneut anwenden können.