Possível duplicata:
É seguro excluir entradas “Conta Desconhecida” das ACLs do Windows em um ambiente de domínio?
Recentemente notei que todos os objetos no meu Active Directory têm duas listagens estranhas na guia “Segurança”:
Conta desconhecida (S-1-5-21-#########-########-#########-1835)
Conta desconhecida (S-1- 5-21-#########-#########-#########-1835)
Essas entradas são herdadas da raiz do Active Directory (DC=contoso,DC=local). Eles estão lá há pelo menos alguns meses, mas talvez até anos. Achei que poderia ter algo a ver com um administrador anterior, mas então percebi algo ainda mais estranho:
Ao observar as configurações de segurança avançadas, existem dezenas de entradas com os nomes mencionados, mas na verdade não há nenhuma permissão concedida nessas entradas. É apenas uma grande pilha de entradas (30+) que aparentemente não fazem nada. (Com exceção de uma única entrada que concede "Criar msExchDynamicDistributionLi..."). Atualmente não executamos um Exchange Server, embora houvesse um Exchange Server no domínio há alguns meses como um projeto piloto, e provavelmente o será novamente no futuro.
Então, eu tenho algumas perguntas.
Seria seguro excluir essas entradas na raiz? Duvido que algo crítico apareça assim.
Existe uma maneira adequada de redefinir as permissões corretas na raiz? Nas configurações avançadas de segurança vejo um botão chamado "Restaurar padrões". Estou um pouco hesitante em pressioná-lo, mas parece o que eu quero.
Alguém pode recomendar uma ferramenta para auditar as ACLs do meu Active Directory? Se perdi isso por tanto tempo, provavelmente também estou sentindo falta de outra coisa.