¿Está bien eliminar las entradas de "Cuenta desconocida" en la raíz de Active Directory?

¿Está bien eliminar las entradas de "Cuenta desconocida" en la raíz de Active Directory?

Posible duplicado:
¿Es seguro eliminar entradas de "Cuenta desconocida" de las ACL de Windows en un entorno de dominio?

Recientemente noté que todos los objetos en mi Active Directory tienen dos listados extraños en la pestaña "Seguridad":

Cuenta desconocida (S-1-5-21-#########-#########-#########-1835)
Cuenta desconocida (S-1- 5-21-#########-#########-#########-1835)

Estas entradas se heredan de la raíz de Active Directory (DC=contoso,DC=local). Han estado allí durante al menos unos meses, pero tal vez incluso años. Pensé que podría tener algo que ver con un administrador anterior a mi tiempo, pero luego noté algo aún más extraño:

Al observar la configuración de seguridad avanzada, en realidad hay docenas de entradas con los nombres mencionados, pero en realidad no se otorga ningún permiso en estas entradas. Es solo una gran pila de entradas (más de 30) que aparentemente no hacen nada en absoluto. (Con la excepción de una única entrada que otorga "Crear msExchDynamicDistributionLi..."). Actualmente no ejecutamos un servidor Exchange, aunque hace unos meses hubo un servidor Exchange en el dominio como proyecto piloto, y probablemente lo habrá nuevamente en el futuro.

Entonces tengo algunas preguntas.

  1. ¿Sería seguro para mí eliminar estas entradas desde la raíz? Dudo que algo crítico aparezca así.

  2. ¿Existe una forma adecuada de restablecer los permisos correctos en la raíz? En la configuración de seguridad avanzada veo un botón llamado "Restaurar valores predeterminados". Dudo un poco en presionarlo, pero suena como lo que quiero.

  3. ¿Alguien puede recomendar una herramienta para auditar las ACL de mi Active Directory? Si me he perdido estos durante tanto tiempo, probablemente también me esté perdiendo algo más.

Respuesta1

información relacionada