我最近注意到 Active Directory 中的所有物件在「安全性」標籤下都有兩個奇怪的清單:
帳戶未知 (S-1-5-21-##########-###########-##########-1835)
帳戶未知(S -1- 5-21-########-##########-##########-1835)
這些條目繼承自 Active Directory 的根 (DC=contoso,DC=local)。他們已經在那裡待了至少幾個月,甚至可能幾年。我認為這可能與我之前的前任管理員有關,但後來我發現了更奇怪的事情:
在查看進階安全性設定時,實際上有幾十個具有上述名稱的條目,但這些條目中實際上沒有授予任何權限。這只是一大堆條目(30 多個),看起來根本沒有任何作用。 (除了授予“Create msExchDynamicDistributionLi...”的單一條目之外)。我們目前不運行 Exchange Server,儘管幾個月前域中已經有一個 Exchange Server 作為試點項目,而且將來可能會再次運行。
所以,我有幾個問題。
我從根目錄刪除這些條目安全嗎?我懷疑任何關鍵的事情都會這樣出現。
有沒有正確的方法來重置根的正確權限?在進階安全性設定中,我看到一個名為「恢復預設值」的按鈕。我有點猶豫要不要按下它,但這聽起來正是我想要的。
有人可以推薦一個用於審核 Active Directory ACL 的工具嗎?如果我錯過這些這麼久,我可能也錯過了其他東西。