Active Directory 루트에서 "알 수 없는 계정" 항목을 삭제하시겠습니까?

Active Directory 루트에서 "알 수 없는 계정" 항목을 삭제하시겠습니까?

가능한 중복:
도메인 환경의 Windows ACL에서 "알 수 없는 계정" 항목을 삭제해도 안전합니까?

최근에 Active Directory의 모든 개체가 "보안" 탭 아래에 두 개의 이상한 목록이 있다는 것을 발견했습니다.

계정 알 수 없음(S-1-5-21-#########-#########-#########-1835)
계정 알 수 없음(S-1- 5-21-#########-#########-#########-1835)

이러한 항목은 Active Directory의 루트(DC=contoso,DC=local)에서 상속됩니다. 그들은 적어도 몇 달 동안 거기에 있었지만 어쩌면 몇 년이 걸릴 수도 있습니다. 저는 이것이 제가 근무하기 전의 이전 관리자와 관련이 있을 것이라고 생각했지만, 더 이상한 점을 발견했습니다.

고급 보안 설정을 살펴보면 실제로 언급된 이름을 가진 항목이 수십 개 있지만 실제로 이러한 항목에 부여된 권한은 없습니다. 겉으로는 전혀 아무것도 하지 않는 것처럼 보이는 항목(30개 이상)의 큰 더미일 뿐입니다. ("msExchDynamicDistributionLi 만들기..."를 부여하는 단일 항목은 제외). 몇 달 전에 파일럿 프로젝트로 도메인에 Exchange Server가 있었고 앞으로도 다시 운영될 예정이지만 현재는 Exchange Server를 실행하지 않습니다.

그래서 몇 가지 질문이 있습니다.

  1. 루트에서 이러한 항목을 삭제해도 안전합니까? 나는 중요한 것이 이와 같이 나타날 것이라고 의심합니다.

  2. 루트에서 올바른 권한을 재설정하는 적절한 방법이 있습니까? 고급 보안 설정에 "기본값 복원"이라는 버튼이 있습니다. 누르기가 조금 망설여지는데 제가 원하는 대로 들리네요.

  3. 누군가 내 Active Directory의 ACL을 감사하는 도구를 추천할 수 있습니까? 내가 이것을 오랫동안 놓쳤다면 아마도 다른 것도 놓쳤을 것입니다.

답변1

관련 정보