SID-Benutzer löschen
Hi,
ich habe im AD zwei Unbekannte Konten und weiß nicht 100%ig ob ich die ohne Fehler löschen kann.
Aktuelle Funktionsebene: Windows Server 2008 R2
Die SID's beginnen beide mit S-1-5-21-{...}
und enden einmal mit -526 und -527
Lt. MS folgendes:
SID: S-1-5-21Domäne-526
Name: Schlüsseladministratoren
Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.
SID: S-1-5-21Domäne-527
Name: Unternehmensschlüsseladministratoren
Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.
Stand hier: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
bzw hier: https://msdn.microsoft.com/en-us/library/cc980032.aspx
Jetzt meine Frage: Kann ich diese beiden ohne Probleme löschen? Die scheinen ja nicht mehr wirklich da zu sein.
Meine Vermutung: Ein alter AD-Trust der mal bestand und nicht ganz entfernt wurde?
Gruß
ich habe im AD zwei Unbekannte Konten und weiß nicht 100%ig ob ich die ohne Fehler löschen kann.
Aktuelle Funktionsebene: Windows Server 2008 R2
Die SID's beginnen beide mit S-1-5-21-{...}
und enden einmal mit -526 und -527
Lt. MS folgendes:
SID: S-1-5-21Domäne-526
Name: Schlüsseladministratoren
Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.
SID: S-1-5-21Domäne-527
Name: Unternehmensschlüsseladministratoren
Beschreibung: Eine Sicherheitsgruppe. Diese Gruppe verfügt über delegierten Schreibzugriff nur auf das Attribut „msdsKeyCredentialLink“. Diese Gruppe eignet sich für Szenarien, in denen vertrauenswürdige externe Entitäten (z. B. Active Directory-Verbunddienste) für Änderungen an diesem Attribut verantwortlich sind. Nur vertrauenswürdige Administratoren sollten Mitglieder dieser Gruppe sein.
Stand hier: https://support.microsoft.com/de-de/help/243330/well-known-security-iden ...
bzw hier: https://msdn.microsoft.com/en-us/library/cc980032.aspx
Jetzt meine Frage: Kann ich diese beiden ohne Probleme löschen? Die scheinen ja nicht mehr wirklich da zu sein.
Meine Vermutung: Ein alter AD-Trust der mal bestand und nicht ganz entfernt wurde?
Gruß
Please also mark the comments that contributed to the solution of the article
Content-Key: 373504
Url: https://administrator.de/contentid/373504
Printed on: April 27, 2024 at 04:04 o'clock
9 Comments
Latest comment
Sind noch andere Server mit Windows Server/DCs mit Server 2016 in der Domain?
Denn die 527er Gruppe (Enterprise Key Admins) und 526er (Key Admins) wurden bei Server 2016 eingeführt! Also dort lassen wo sie sind.
Active Directory Security Groups
Active Directory Security Groups
Kommt drauf an von "wo" du aus auf's AD schaust. Sie werden erst relevant wenn das Level hochgestuft wird. Stören tun sie nicht.
Active Directory Security Groups
Btw. das sind keine User sondern Gruppen!
Active Directory Security Groups
Btw. das sind keine User sondern Gruppen!
Richtig, und normal, s. Hinweis oben.
Hi,
schau mal hier: https://secureidentity.se/adprep-bug-in-windows-server-2016/#more-585
E.
schau mal hier: https://secureidentity.se/adprep-bug-in-windows-server-2016/#more-585
Adding a Windows Server 2016 DC and moving the FSMO role PDC Emulator to that DC, the groups gets created and you can see it in the Security tab.
E.