1 votes

Chris Bunch avatar

Comment les backlinks s'effacent-ils dans Active Directory ? (A l'intérieur d'un domaine et entre domaines)

Demandé el 4 de Novembre, 2010
Quand la question a-t-elle été
1220 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Supposons que vous ayez un utilisateur dans AD. Il se voit accorder toutes sortes de droits au fil du temps. Il a également accès à des ressources dans un domaine distant qui fait confiance à votre domaine.

Ensuite, ils quittent l'entreprise et vous supprimez leur objet. L'objet supprimé devient un objet de base, destiné à préserver le SID au cas où vous souhaiteriez "annuler" la suppression, en quelque sorte.

Qu'advient-il donc des ACE qui contenaient leur SID ? Au sein du domaine, je pense qu'après l'expiration de la pierre tombale, ils seront nettoyés. Car après tout, quel est l'intérêt de conserver le SID si toutes les références à celui-ci ont déjà disparu.

Qu'advient-il des ACE dans le domaine de confiance distant ? Comment cela permet-il d'effacer les SID orphelins dans les ACE et autres ?

Demandé el 4 de Novembre, 2010 par Chris Bunch

Réponse

Trop de publicités?

2voto

jscott avatar
jscott Points 23974

Que se passe-t-il donc pour les ACE qui ont reçu leur SID ?

Tout ACL contenant un ACE pour un utilisateur supprimé affichera le SID orphelin au lieu du nom de l'utilisateur. Cet ACE no sont supprimées après que le durée de vie de la pierre tombale .

Dans le domaine, je pense qu'après l'expiration de la pierre tombale, elle sera nettoyée. Car après tout, quel est l'intérêt de conserver le SID si toutes les références à celui-ci ont déjà disparu.

L'ACE est lui-même une référence explicite au SID. L'ACE d'un SID orphelin restera "pour toujours" dans l'ACL, à moins qu'il ne soit supprimé.

Qu'advient-il des ACE dans le domaine de confiance distant ? Comment cela permet-il d'effacer les SID orphelins dans les ACE et autres ?

Même situation que ci-dessus. À ma connaissance, il n'y a pas de "nettoyage" automatique.

Ce "problème" est l'une des nombreuses raisons d'accorder des permissions/délégations. par groupe plutôt que par utilisateur pour la plupart des choses. Lorsque l'utilisateur quitte l'entreprise, vous supprimez son objet utilisateur. Pour accorder à son remplaçant les mêmes autorisations dans l'ensemble du domaine, il suffit d'ajouter le nouvel employé au groupe existant.

Répondu el 4 de Novembre, 2010 par jscott (23974 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X