在 Windows ACL(NTFS文件/文件夹,注册表,AD对象等)中看到名称为“帐户未知(SID)”的条目并不罕见.显然,这些是因为旧的AD用户或组在某些时候在相关对象上手动配置了权限并且已被删除.

有谁知道删除这些“帐户未知”ACE是否安全？

我的直觉是它应该没问题,但我想知道是否有人有任何过去的经历,这样做会导致麻烦？

通常我只是忽略这些,但我现在正在工作的公司似乎有异常数量的这些,很可能是由于过去管理员对AD / Windows的经验不足以及为用户帐户分配权限而不是各种奇怪的群体地方.

FWIW,我们的环境并不复杂,单个域林,3个站点中的4个DC,所有网络连接和复制都很健康,所以我确定这些“帐户未知”条目真的是旧帐户,而不仅仅是因为某些无法将SID解析为人类可读的名称.