Нередко можно увидеть записи в списках управления доступом Windows (файлы/папки NTFS, реестр, объекты AD и т. д.) с именем «Учетная запись неизвестна (SID)». Очевидно, что это происходит из-за старых пользователей или групп AD, которые в какой-то момент имели разрешения, настроенные вручную на соответствующий объект, и с тех пор были удалены.
Кто-нибудь знает, безопасно ли удалять эти ACE «Account Unknown»?
Я чувствую, что все должно быть в порядке, но мне интересно, был ли у кого-то опыт, когда это приводило к проблемам?
Обычно я просто игнорирую их, но в компании, где я сейчас работаю, похоже, их необычно много, скорее всего, из-за неопытности предыдущих администраторов в работе с AD/Windows и назначения разрешений учетным записям пользователей, а не группам во всевозможных странных местах.
Кстати, наша среда несложная: лес из одного домена, 4 контроллера домена на 3 сайтах, все сетевые подключения и репликация в порядке, поэтому я уверен, что эти записи «Account Unknown» действительно старые учетные записи, а не просто из-за какой-то ошибки при преобразовании SID в понятное человеку имя.
решение1
Если у вас нет проблем с подключением, да, их можно безопасно удалить. Будьте осторожны, так как Windows покажет «Учетная запись неизвестна», если не сможет подключиться к AD, или если у вас несколько доменов, может потребоваться несколько минут, чтобы пересечь границы доменов и т. д.
решение2
сделайте резервную копию и идите вперед.
Предположим, что у вас нет доверительных отношений с другими доменами и, как было отмечено ранее, проблем с сетевым подключением.
Вы можете сделать резервную копию списков ACL с помощью xcacls.exe или icacls.exe (Vista и выше). Они могут быть в таком формате, что вы можете скопировать, вставить и повторно применить их.