7
Active Directory cleanup
Zu Testzwecken habe ich mehrere Benutzer und Gruppen meiner AD immer mal wieder erstellt, gelöscht, etc.
Wenn ich mir nun mal mit ADSIedit die Sicherheitseinstellung verbliebener Gruppen anschaue, dann sehe ich dort immer wieder ehemalige Benutzer die Mitglied der Gruppe waren, gelöscht wurden und jetzt nur noch als Unbekanntes Konto mit ID dort eingetragen sind. Auch könnte ich schwören, schon in Dateifreigaben oder anderen Objekten verweise auf unbekannte Konten gesehen zu haben, ich habe das aber bisher ignoriert.
Gibt es eine sinnvolle Methode solche Spuren zu finden und zu löschen?
Wenn ich mir nun mal mit ADSIedit die Sicherheitseinstellung verbliebener Gruppen anschaue, dann sehe ich dort immer wieder ehemalige Benutzer die Mitglied der Gruppe waren, gelöscht wurden und jetzt nur noch als Unbekanntes Konto mit ID dort eingetragen sind. Auch könnte ich schwören, schon in Dateifreigaben oder anderen Objekten verweise auf unbekannte Konten gesehen zu haben, ich habe das aber bisher ignoriert.
Gibt es eine sinnvolle Methode solche Spuren zu finden und zu löschen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 275048
Url: https://administrator.de/contentid/275048
Printed on: April 19, 2024 at 05:04 o'clock
7 Comments
Latest comment
Stichwort Dumpster ... zum Anstoßen der Garbage Collection und mehr Details dazu siehe:
Taking Out The Trash
Gruß jodel32
Taking Out The Trash
Gruß jodel32
Klingt soweit schlüssig aber sind die toten Einträge die ich z.B. in den Sicherheitseigenschaften unter ADSIedit sehe wirklich deleted Items oder wurden die vieleicht einfch nicht gelöscht?
Klingt soweit schlüssig aber sind die toten Einträge die ich z.B. in den Sicherheitseigenschaften unter ADSIedit sehe wirklich deleted Items oder wurden die vieleicht einfch nicht gelöscht?
Kann ich von hier aus für dein System nicht beurteilen. Aber wie in den Dateisystem ACLs können dort auch Überreste entstehen, wenn manuell Rechte an User oder Gruppen vergeben wurden.Dumpster leeren und Garbage Collection anstoßen dann weist du mehr, ganz einfach !
Hi,
diese nicht auflösbaren SID können bloß von externen, vertrauten Domänen stammen.
Die Mitgliedschaft eines Benutzers kann man nicht direkt bearbeiten. Wenn man am Benutzer unter "Mitglied in" eine Gruppe hinzufügt, dann wird tatsächlich nicht der Benutzer sondern die Gruppe geändert. Der Benutzer wird der gruppe hinzugefügt und as "memberOf" Attribut des Benutzers neu berechnet.
Im Umkehrschluss bedeutet das, dass beim Löschen eines Benutzers dieser sofort von AD selbst aus allen Gruppen entfernt wird. Das funktioniert aber nur im selben Forest. War der Benutzer Mitglied in einer Gruppe einer über Vertraunsstellung angebundenen Domäne, so wird er dort nicht automatisch entfernt.
Insofern kann das nach meiner Auffassung nicht im Zusammenhang mit Garbage Collection stehen. Beim Garbage Collect geht es um das entgültige Löschen aller mit einem abgelaufenen Tombstobne versehenen Objekte.
E.
diese nicht auflösbaren SID können bloß von externen, vertrauten Domänen stammen.
Die Mitgliedschaft eines Benutzers kann man nicht direkt bearbeiten. Wenn man am Benutzer unter "Mitglied in" eine Gruppe hinzufügt, dann wird tatsächlich nicht der Benutzer sondern die Gruppe geändert. Der Benutzer wird der gruppe hinzugefügt und as "memberOf" Attribut des Benutzers neu berechnet.
Im Umkehrschluss bedeutet das, dass beim Löschen eines Benutzers dieser sofort von AD selbst aus allen Gruppen entfernt wird. Das funktioniert aber nur im selben Forest. War der Benutzer Mitglied in einer Gruppe einer über Vertraunsstellung angebundenen Domäne, so wird er dort nicht automatisch entfernt.
Insofern kann das nach meiner Auffassung nicht im Zusammenhang mit Garbage Collection stehen. Beim Garbage Collect geht es um das entgültige Löschen aller mit einem abgelaufenen Tombstobne versehenen Objekte.
E.
Also ich habe die GarbageCollection laufen lassen und wenn ich diese Suche wie hier beschrieben
https://support.microsoft.com/de-de/kb/258310/en-us
richtig habe laufen lassen dann habe ich keine deleted objects mehr. Klingt auch logisch, es waren vieleicht bisher max 20 User und Gruppen die in der letzten Woche angelegt und gelöscht wurden. Die GarbageCollection ist ein interessantes Thema aber hier scheinbar wirklich nicht die Ursache.
Es wurden keine Benutzer oder Gruppen aus externen Domänen genutzt, die SIDs in den Eigenschaften der Gruppe (Sicherheit unter ADSIedit) müssen tatsächlich von alten Objekten der selben Domäne stammen, die gelöscht wurden. Das wäre durchaus nachvollziehbar, ich habe diese SIDs (es sind 5) in jeder meiner individuellen Gruppen aber auch bei allen anderen Objekten die ich mir über ADSIedit angucken kann.
Können das Reste meiner ersten Exchange Installation sein? Die wurde nicht ordnungsgemäß deinstalliert, ich musste über ADSIedit nachhelfen um Exchange wieder installieren zu dürfen. Aber warum habe ich diese 5 Einträge in jedem Objekt meiner AD?
PS: Auch Objekte die ich lange nach dem Exchange Setup in der Domäne erstellt habe haben genau 5 Einträge mit "Unbekanntes Konto".
https://support.microsoft.com/de-de/kb/258310/en-us
richtig habe laufen lassen dann habe ich keine deleted objects mehr. Klingt auch logisch, es waren vieleicht bisher max 20 User und Gruppen die in der letzten Woche angelegt und gelöscht wurden. Die GarbageCollection ist ein interessantes Thema aber hier scheinbar wirklich nicht die Ursache.
Es wurden keine Benutzer oder Gruppen aus externen Domänen genutzt, die SIDs in den Eigenschaften der Gruppe (Sicherheit unter ADSIedit) müssen tatsächlich von alten Objekten der selben Domäne stammen, die gelöscht wurden. Das wäre durchaus nachvollziehbar, ich habe diese SIDs (es sind 5) in jeder meiner individuellen Gruppen aber auch bei allen anderen Objekten die ich mir über ADSIedit angucken kann.
Können das Reste meiner ersten Exchange Installation sein? Die wurde nicht ordnungsgemäß deinstalliert, ich musste über ADSIedit nachhelfen um Exchange wieder installieren zu dürfen. Aber warum habe ich diese 5 Einträge in jedem Objekt meiner AD?
PS: Auch Objekte die ich lange nach dem Exchange Setup in der Domäne erstellt habe haben genau 5 Einträge mit "Unbekanntes Konto".
Na was denn nun? Einmal schreibst Du "Mitglied der Gruppe waren" und jetzt "Sicherheit unter ADSIedit". Das sind zwei verschiedene Paar Schuhe!
Das erste ist eine Gruppeneingenschaft, das zweite die ACL der Gruppe. In der ACL können solche Leichen übrigbleiben, ja. Aber auch das hat meines Wissens nicht mit Dumster und/oder Garbage Collection zu tun.
Das erste ist eine Gruppeneingenschaft, das zweite die ACL der Gruppe. In der ACL können solche Leichen übrigbleiben, ja. Aber auch das hat meines Wissens nicht mit Dumster und/oder Garbage Collection zu tun.
Sry ich nahm zunächst an das es sich um ehemalige Gruppenmitglieder handeln muss. Da aber alle meine AD Objekte betroffen sind (in den ACL) würde ich davon Abstand nehmen.
Das Thema beschäftigt mich aber schon, wo kommen diese Einträge her und werde ich sie vieleicht auf elegante Weise wieder los?
Das Thema beschäftigt mich aber schon, wo kommen diese Einträge her und werde ich sie vieleicht auf elegante Weise wieder los?
