killtec
May 09, 2018
view8604
view9
0
Goto Top

SID-Benutzer löschen

GermansolvedQuestionWindows ServerMicrosoft
Hi,
ich habe im AD zwei Unbekannte Konten und weiß nicht 100%ig ob ich die ohne Fehler löschen kann.
Aktuelle Funktionsebene: Windows Server 2008 R2

Die SID's beginnen beide mit S-1-5-21-{...}
und enden einmal mit -526 und -527

Lt. MS folgendes:

SID: S-1-5-21Domäne-526
Name: Schlüsseladministratoren
Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.

SID: S-1-5-21Domäne-527
Name: Unternehmensschlüsseladministratoren
Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.

Stand hier: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
bzw hier: https://msdn.microsoft.com/en-us/library/cc980032.aspx

Jetzt meine Frage: Kann ich diese beiden ohne Probleme löschen? Die scheinen ja nicht mehr wirklich da zu sein.

Meine Vermutung: Ein alter AD-Trust der mal bestand und nicht ganz entfernt wurde?


Gruß
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 373504

Url: https://administrator.de/contentid/373504

Printed on: April 27, 2024 at 04:04 o'clock

9 Comments
Latest comment
Goto Top
Mitglied: 136166
136166 May 09, 2018 updated at 09:24:09 (UTC)
Goto Top
Sind noch andere Server mit Windows Server/DCs mit Server 2016 in der Domain?
Member: killtec
killtec May 09, 2018 at 09:24:49 (UTC)
Goto Top
HI,

Ja, es sind 2012, 2008 und 2016er DC's. Alle auf der Ebene 2008R2

Gruß
Mitglied: 136166
136166 May 09, 2018 updated at 09:28:00 (UTC)
Goto Top
Denn die 527er Gruppe (Enterprise Key Admins) und 526er (Key Admins) wurden bei Server 2016 eingeführt! Also dort lassen wo sie sind.
Active Directory Security Groups
Member: killtec
killtec May 09, 2018 at 09:27:52 (UTC)
Goto Top
Ok, und warum kann er die dann nicht auflösen?
die 2016er DC's sind jedoch alle auf 2008 R2 Funktionesebene...
Mitglied: 136166
136166 May 09, 2018 updated at 09:31:39 (UTC)
Goto Top
Kommt drauf an von "wo" du aus auf's AD schaust. Sie werden erst relevant wenn das Level hochgestuft wird. Stören tun sie nicht.
Active Directory Security Groups

Btw. das sind keine User sondern Gruppen!
Member: killtec
killtec May 09, 2018 at 09:53:13 (UTC)
Goto Top
ok, soweit verstanden.
Ich formuliere mein Problem etwas anders:
unbenannt

Gruß
Mitglied: 136166
136166 May 09, 2018 updated at 09:59:34 (UTC)
Goto Top
Richtig, und normal, s. Hinweis oben.
Member: emeriks
emeriks May 11, 2018 at 07:28:38 (UTC)
Goto Top
Hi,
schau mal hier: https://secureidentity.se/adprep-bug-in-windows-server-2016/#more-585

Adding a Windows Server 2016 DC and moving the FSMO role PDC Emulator to that DC, the groups gets created and you can see it in the Security tab.

E.
Member: killtec
killtec May 16, 2018 at 13:57:22 (UTC)
Goto Top
Danke für die Infos.
GermansolvedQuestionWindows ServerMicrosoft