Windows ACL(NTFS 파일/폴더, 레지스트리, AD 개체 등)에서 이름이 "SID(계정 알 수 없음)"인 항목을 보는 것은 드문 일이 아닙니다. 분명히 이는 특정 시점에 관련 개체에 대해 수동으로 구성된 권한이 있었고 이후 삭제된 이전 AD 사용자 또는 그룹 때문입니다.
이러한 "계정 알 수 없는" ACE를 제거하는 것이 안전한지 아는 사람이 있습니까?
내 직감은 괜찮을 것 같지만 과거에 이렇게 해서 문제가 발생한 경험이 있는 사람이 있는지 궁금합니다.
일반적으로 저는 이것을 무시하지만 지금 제가 일하고 있는 회사에는 이러한 수가 비정상적인 것 같습니다. 이는 과거 관리자의 AD/Windows 경험이 없고 온갖 종류의 이상한 그룹이 아닌 사용자 계정에 권한을 할당했기 때문일 가능성이 높습니다. 장소.
FWIW, 우리 환경은 복잡하지 않습니다. 단일 도메인 포리스트, 3개 사이트에 4개의 DC, 모든 네트워크 연결 및 복제가 정상이므로 이러한 "계정 알 수 없음" 항목은 일부 계정 때문이 아니라 정말 오래된 계정이라고 확신합니다. SID를 사람이 읽을 수 있는 이름으로 확인하지 못했습니다.
답변1
연결 문제가 없다면 삭제해도 안전합니다. Windows에서 AD에 연결할 수 없는 경우 "계정 알 수 없음"이 표시되거나 도메인이 여러 개 있는 경우 도메인 경계를 넘어가는 데 몇 분 정도 걸릴 수 있으므로 주의하세요.
답변2
백업하고 진행하세요.
다른 도메인과의 신뢰가 없고 앞서 지적한 대로 네트워크 연결 문제가 있다고 가정합니다.
xcacls.exe 또는 icacls.exe(Vista 이상)를 사용하여 ACL을 백업할 수 있습니다. 붙여넣기를 복사하고 다시 적용할 수 있는 형식일 수 있습니다.