Mögliches Duplikat:
Ist es sicher, „Konto unbekannt“-Einträge aus Windows-ACLs in einer Domänenumgebung zu löschen?
Mir ist vor kurzem aufgefallen, dass alle Objekte in meinem Active Directory unter der Registerkarte „Sicherheit“ zwei merkwürdige Einträge aufweisen:
Konto unbekannt (S-1-5-21-##########-#########-#########-1835)
Konto unbekannt (S-1-5-21-##########-#########-##########-1835)
Diese Einträge werden vom Stamm des Active Directory (DC=contoso,DC=local) übernommen. Sie sind dort seit mindestens einigen Monaten, vielleicht aber auch schon seit Jahren vorhanden. Ich dachte, es könnte etwas mit einem früheren Administrator vor mir zu tun haben, aber dann fiel mir etwas noch Seltsameres auf:
Wenn man sich die erweiterten Sicherheitseinstellungen ansieht, findet man tatsächlich Dutzende von Einträgen mit den genannten Namen, aber in diesen Einträgen werden tatsächlich keine Berechtigungen erteilt. Es ist nur ein großer Haufen von Einträgen (30+), die scheinbar überhaupt nichts tun. (Mit Ausnahme eines einzigen Eintrags, der „Create msExchDynamicDistributionLi...“ erteilt.) Wir betreiben derzeit keinen Exchange-Server, obwohl es vor einigen Monaten als Pilotprojekt einen Exchange-Server in der Domäne gab und es in Zukunft wahrscheinlich wieder einen geben wird.
Also, ich habe ein paar Fragen.
Wäre es für mich sicher, diese Einträge an der Wurzel zu löschen? Ich bezweifle, dass auf diese Weise etwas Kritisches auftauchen würde.
Gibt es eine Möglichkeit, die richtigen Berechtigungen an der Wurzel zurückzusetzen? In den erweiterten Sicherheitseinstellungen sehe ich eine Schaltfläche namens „Standardeinstellungen wiederherstellen“. Ich zögere ein wenig, darauf zu klicken, aber es klingt nach dem, was ich will.
Kann mir jemand ein Tool zum Überprüfen der ACLs meines Active Directory empfehlen? Wenn ich diese so lange übersehen habe, übersehe ich wahrscheinlich auch noch etwas anderes.