dyasny Asked: 2014-09-23 07:42:22 +0800 CST2014-09-23 07:42:22 +0800 CST 2014-09-23 07:42:22 +0800 CST 已删除 AD 中的 Authenticated Users 内置组 772 我有一个大型的 AD 设置,其中一位已被解雇的管理员由于未知原因删除了主题组。 谷歌搜索了一段时间,但除了解释该组的用途和警告不要删除它之外,我找不到任何东西。 SID 是已知的,所以我想知道如果我创建一个具有相同名称和 SID 的新组,这足以解除设置,还是组删除会导致 AD 架构破坏? 解决这个问题的一系列步骤(除了找到这样做的天才并造成严重伤害)非常受欢迎 谢谢 active-directory 2 个回答 Voted Best Answer Ryan Ries 2014-09-23T08:14:57+08:002014-09-23T08:14:57+08:00 您不能删除 'NT Authority\Authenticated Users' (SID S-1-5-11) 组。 您也无法在 AD 用户和计算机中查看此组,这可以解释为什么您无法使用该工具查看它。 例如,它不是像“DOMAIN\Domain Admins”那样的“真正的”安全组。“Authenticated Users”的成员资格是动态生成的,代表了所有已通过身份验证的人。 编辑:实际上,您可以将其视为 ForeignSecurityPricipals 容器中的外国安全主体。我直截了当地说你在 ADUC 中看不到它是错误的。但请记住,这个 FSP 并不是实际的对象本身。你甚至可以删除那个 FSP...我只是在我的实验室里这样做了,看看会发生什么。但删除 FSP 与删除它所代表的对象不同。您仍然可以将 SID 解析为名称,当您登录到服务器 ( whoami /groups,) 时,您仍然可以在令牌中获得 NT AUTHORITY\Authenticated Users,并且您仍然可以将 Authenticated Users 组分配给 ACL。所有计算机都理解这个众所周知的 SID。我的测试域中似乎没有任何问题... 我能够通过将其添加到组来重新创建 Foreign Security Principal。(例如,我将它添加到“用户”组。)引用它的行为导致目录服务引擎在其所属的 ForeignSecurityPrincipals 容器中自动重新创建 FSP。 我意识到这可能不再与您的实际问题有关-我现在已经陷入困境-但我认为这很整洁。这是我在我的域中删除“Authenticated Users”外部安全主体,并重新启动了我的两个 DC。即使 FSP 早已不复存在,我仍然能够翻译 SID S-1-5-11: (然后我通过将 FSP 添加到上面提到的组来重新创建 FSP。) mfinni 2014-09-23T08:08:18+08:002014-09-23T08:08:18+08:00 我会将其发布为答案,因为这是做事的标准方式。这不是修复(我希望有人确实发布了一个好的技术答案,他们应该得到复选标记),但它是获得修复的保证方法,并且绝对是未来读者应该知道的一种选择。 使用 Microsoft PSS 打开票证。它值 125 美元左右。 /Edit - Ryan 提出了一个很好的观点,它可能没有被删除。您应该更全面地描述您看到的问题以及到目前为止您已完成的故障排除。
您不能删除 'NT Authority\Authenticated Users' (SID S-1-5-11) 组。
您也无法在 AD 用户和计算机中查看此组,这可以解释为什么您无法使用该工具查看它。
例如,它不是像“DOMAIN\Domain Admins”那样的“真正的”安全组。“Authenticated Users”的成员资格是动态生成的,代表了所有已通过身份验证的人。
编辑:实际上,您可以将其视为 ForeignSecurityPricipals 容器中的外国安全主体。我直截了当地说你在 ADUC 中看不到它是错误的。但请记住,这个 FSP 并不是实际的对象本身。你甚至可以删除那个 FSP...我只是在我的实验室里这样做了,看看会发生什么。但删除 FSP 与删除它所代表的对象不同。您仍然可以将 SID 解析为名称,当您登录到服务器 (
whoami /groups,) 时,您仍然可以在令牌中获得 NT AUTHORITY\Authenticated Users,并且您仍然可以将 Authenticated Users 组分配给 ACL。所有计算机都理解这个众所周知的 SID。我的测试域中似乎没有任何问题...我能够通过将其添加到组来重新创建 Foreign Security Principal。(例如,我将它添加到“用户”组。)引用它的行为导致目录服务引擎在其所属的 ForeignSecurityPrincipals 容器中自动重新创建 FSP。
我意识到这可能不再与您的实际问题有关-我现在已经陷入困境-但我认为这很整洁。这是我在我的域中删除“Authenticated Users”外部安全主体,并重新启动了我的两个 DC。即使 FSP 早已不复存在,我仍然能够翻译 SID S-1-5-11:
(然后我通过将 FSP 添加到上面提到的组来重新创建 FSP。)
我会将其发布为答案,因为这是做事的标准方式。这不是修复(我希望有人确实发布了一个好的技术答案,他们应该得到复选标记),但它是获得修复的保证方法,并且绝对是未来读者应该知道的一种选择。
使用 Microsoft PSS 打开票证。它值 125 美元左右。
/Edit - Ryan 提出了一个很好的观点,它可能没有被删除。您应该更全面地描述您看到的问题以及到目前为止您已完成的故障排除。