Возможный дубликат:
Безопасно ли удалять записи «Учетная запись неизвестна» из списков контроля доступа Windows в доменной среде?
Недавно я заметил, что все объекты в моем Active Directory имеют два странных списка на вкладке «Безопасность»:
Счет неизвестен (S-1-5-21-##########-#########-#########-1835) Счет
неизвестен (S-1-5-21-#########-########-########-1835)
Эти записи унаследованы от корня Active Directory (DC=contoso,DC=local). Они там уже как минимум несколько месяцев, а может быть, и лет. Я думал, что это как-то связано с предыдущим администратором до меня, но потом я заметил нечто еще более странное:
Если посмотреть на расширенные настройки безопасности, то на самом деле есть десятки записей с упомянутыми именами, но на самом деле в этих записях не предоставлено никаких разрешений. Это просто большая куча записей (более 30), которые, по-видимому, вообще ничего не делают. (За исключением одной записи, которая предоставляет "Create msExchDynamicDistributionLi..."). В настоящее время мы не запускаем Exchange Server, хотя несколько месяцев назад в домене был Exchange Server в качестве пилотного проекта, и, вероятно, снова будет в будущем.
Итак, у меня есть несколько вопросов.
Будет ли безопасно удалить эти записи в корне? Сомневаюсь, что что-то критическое появится вот так.
Есть ли правильный способ сбросить правильные разрешения в корне? В расширенных настройках безопасности я вижу кнопку под названием «Восстановить значения по умолчанию». Я немного не решаюсь ее нажать, но это похоже на то, что мне нужно.
Может кто-нибудь порекомендовать инструмент для аудита ACL моего Active Directory? Если я так долго их не замечал, то, вероятно, я упускаю что-то еще.