在 Windows ACL(NTFS 檔案/資料夾、登錄、AD 物件等)中看到名稱為「未知帳戶 (SID)」的項目並不罕見。顯然,這是因為舊的 AD 使用者或群組在某些時候對相關物件手動配置了權限,但後來已被刪除。
有誰知道刪除這些「帳戶未知」ACE 是否安全?
我的直覺是應該沒問題,但我想知道是否有人有過這樣做造成麻煩的經驗?
通常我只是忽略這些,但我現在工作的公司似乎有異常數量的這些,很可能是由於過去的管理員對 AD/Windows 缺乏經驗,並且將權限分配給用戶帳戶而不是各種奇怪的群組地方。
FWIW,我們的環境並不復雜,一個網域林,3 個網站中的4 個DC,所有網路連線和複製都正常,所以我確信這些「帳戶未知」條目確實是舊帳戶,而不僅僅是因為某有些無法將 SID 解析為人類可讀的名稱。
答案1
只要沒有連接問題,就可以安全地刪除它們。請務必小心,因為如果無法連接到 AD,Windows 會顯示“帳戶未知”,或者如果您有多個網域,則可能需要一些時間才能跨越網域邊界等。
答案2
進行備份並繼續。
假設您與其他網域沒有任何信任,並且如前所述,沒有任何網路連線問題。
您可以使用 xcacls.exe 或 icacls.exe(Vista 及更高版本)備份 ACL。