No es raro ver entradas en las ACL de Windows (archivos/carpetas NTFS, registro, objetos AD, etc.) con el nombre "Cuenta desconocida (SID)". Obviamente, esto se debe a usuarios o grupos de AD antiguos que en algún momento tuvieron permisos configurados manualmente en el objeto relevante y desde entonces se eliminaron.
¿Alguien sabe si es seguro eliminar estas ACE de "Cuenta desconocida"?
Mi intuición es que debería estar bien, pero me pregunto si alguien tiene alguna experiencia pasada en la que hacer esto haya causado problemas.
Normalmente simplemente los ignoro, pero la empresa en la que trabajo ahora parece tener un número anormal de estos, probablemente debido a la inexperiencia de los administradores anteriores con AD/Windows y la asignación de permisos a cuentas de usuario en lugar de grupos en todo tipo de situaciones extrañas. lugares.
FWIW, nuestro entorno no es complejo, un bosque de un solo dominio, 4 DC en 3 sitios, con toda la conectividad de red y replicación en buen estado, así que estoy seguro de que estas entradas de "Cuenta desconocida" son cuentas realmente antiguas, y no solo por algunos No se pudo resolver el SID a un nombre legible por humanos.
Respuesta1
Siempre y cuando no tengas problemas de conectividad, sí, es seguro eliminarlos. Tenga cuidado porque Windows mostrará "Cuenta desconocida" si no puede conectarse a AD, o si tiene varios dominios, es posible que tarde unos momentos en cruzar los límites del dominio, etc.
Respuesta2
haz una copia de seguridad y sigue adelante.
Suponiendo que no tenga confianza con otros dominios y, como se señaló anteriormente, cualquier problema de conectividad de red.
puede realizar una copia de seguridad de las ACL utilizando xcacls.exe o icacls.exe (Vista y superior). Pueden tener un formato tal que pueda copiar, pegar y volver a aplicarlas.