Não é incomum ver entradas em ACLs do Windows (arquivos/pastas NTFS, registro, objetos AD, etc.) com o nome "Conta desconhecida (SID)". Obviamente, isso se deve a usuários ou grupos antigos do AD que, em algum momento, tinham permissões configuradas manualmente no objeto relevante e, desde então, foram excluídos.
Alguém sabe se é seguro remover essas ACEs de "Conta Desconhecida"?
Meu pressentimento é que deve ficar tudo bem, mas estou me perguntando se alguém tem alguma experiência anterior em que fazer isso tenha causado problemas.
Normalmente eu simplesmente ignoro isso, mas a empresa em que trabalho agora parece ter um número anormal deles, provavelmente devido à inexperiência dos administradores anteriores com AD/Windows e à atribuição de permissões a contas de usuário em vez de grupos em todos os tipos de coisas estranhas. lugares.
FWIW, nosso ambiente não é complexo, uma floresta de domínio único, 4 DCs em 3 sites, com toda conectividade de rede e replicação saudável, então tenho certeza de que essas entradas de "Conta Desconhecida" são contas realmente antigas, e não apenas por causa de alguns falha ao resolver o SID para um nome legível.
Responder1
Contanto que você não tenha problemas de conectividade, sim, é seguro excluí-los. Tenha cuidado porque o Windows mostrará "Conta Desconhecida" se não conseguir se conectar ao AD ou se você tiver vários domínios, pode demorar alguns minutos para cruzar os limites do domínio, etc.
Responder2
faça um backup e vá em frente.
Supondo que você não tenha relações de confiança com outros domínios e, como apontado anteriormente, quaisquer problemas de conectividade de rede.
você pode fazer backup de ACLs usando xcacls.exe ou icacls.exe (Vista e superior). Eles podem estar no formato de forma que você possa copiar, colar e reaplicá-los de volta.