Вопрос или проблема
Сканирование нашего AD с помощью PingCastle показало учетную запись, для которой не установлен пароль. Я обнаружил, что это старая (2006 год!) неиспользуемая учетная запись междоменного доверия. Домен больше не существует, поэтому мне нужно удалить его.
Однако, это не так просто сделать. Я нашел в этой статье, что AD предотвращает удаление учетных записей, поскольку это может вызвать катастрофические повреждения. В статье описано, как удалить сиротскую учетную запись, но это не работает.
Следуя шагам в статье, я:
- вошел в систему с учетной записью администратора домена, который является членом группы “Schema admins”.
- Установил последние обновления Windows на контроллере домена Windows Server 2022.
- Подготовил примерный файл импорта LDIFDE, как показано ниже.
- Запустил импорт LDIFDE. Первая часть (добавление SchemaUpgradeInProgress) завершена, (как можно это проверить?), вторая часть (фактическое удаление пользователя) завершается ошибкой Отказано в доступе.
Есть какие-нибудь советы?
Спасибо!
dn:
changetype: modify
add: SchemaUpgradeInProgress
SchemaUpgradeInProgress: 1
-
dn: CN=USERNAME$,CN=Users,DC=domainname
changetype: delete
Ответ или решение
Конечно, решение проблемы удаления неиспользуемых междоменных учетных записей в Active Directory, особенно если они устарели или считаются сиротскими, может быть сложной задачей. Опишем возможный подход более подробно, учитывая ваш конкретный случай.
Проблема
Вы столкнулись с проблемой, когда старый междоменный доверенный учетный объект, не имеющий установленного пароля, не может быть удален из-за средств безопасности Active Directory, предотвращающих потенциально разрушительные действия. Столкновение с ошибкой "Access Denied" при попытке удаления дополнительно усложняет ситуацию. Давайте разберем, как можно подойти к решению этой проблемы.
Шаги для решения
-
Проверка разрешений и доступа: Убедитесь, что ваша учетная запись действительно имеет нужные административные привилегии. В ней должно быть членство в группах "Domain Admins" и "Schema Admins". Перепроверьте, что вы работаете на правильном контроллере домена с актуальными обновлениями.
-
Уточнение LDIFDE файла: Ваша попытка использования LDIFDE для выполнения операции удаления может не срабатывать из-за ошибок в синтаксисе или неправильно установленных переменных DN. Проверьте, что указываете правильный DN для удаляемого Trust Account. Также попробуйте использовать более подробные записи в LDIFDE файле, добавляя полное описание объекта.
-
Использование LDP.exe: Вместо LDIFDE можно использовать утилиту LDP.exe для непосредственного взаимодействия с Active Directory. Она позволяет удалять объекты вручную, обходя некоторые ограничения LDIFDE. Следует быть осторожным, так как неправильные действия могут привести к нежелательным последствиям для среды AD.
-
Проверка GPO и доступов: Проверьте, нет ли примененных GPO, которые могут ограничивать удаление объектов Active Directory или влиять на права вашей учетной записи. Возможные настройки или политики безопасности могут блокировать вашу операцию.
-
Обратитесь в поддержку: Если после всех попыток проблема остается неразрешенной, стоит обратиться за профессиональной поддержкой в Microsoft Support. Они могут предоставить более глубокий анализ и рекомендацию по решению вашей проблемы.
Заключение
Удаление устаревших междоменных доверительных учетных записей в Active Directory требует точности и аккуратного подхода к выполнению операций, учитывая риски, связанные с ошибочными действиями. Следует отдавать предпочтение инструментам, поддерживающим безопасное взаимодействие с AD, и регулярно обновлять знания о лучших практиках управления доверенными аккаунтами. Надеемся, предоставленные шаги помогут вам успешно разрешить текущую задачу.
Если это руководство было полезно, приглашаем обратиться к профессиональным ресурсам и обновлениям для более глубокого понимания взаимодействия с системами Active Directory.