使用 PowerShell 删除孤立的 SID

Active Directory (AD) 中存在未知的 SID，并且您希望将其删除。然而，检查所有 AD 对象并删除坏的 SID 将花费您几个月的时间才能完成。这时您需要使用 PowerShell 脚本来删除 AD 中未知的 SID。在本文中，您将了解如何使用 PowerShell 删除孤立的 SID。

介绍

SID 代表安全标识符并且始终是唯一的。它是用于识别 Windows 中的用户、组和计算机帐户的数字。首次在 Windows 中创建帐户时会创建 SID。

我们已经展示了如何从邮箱中删除孤立的 SID 权限。如果您只想删除一个孤立的 SID，那么这是很好的选择。但是，如果您想删除 AD 中的所有孤立 SID，该怎么办？答案是您需要使用 PowerShell 实现自动化。让我们看看 AD PowerShell 脚本中删除未知的 SID。

删除或保留孤立的 SID

在 ACL（访问控制列表）条目中使用时，SID 会成为孤立，但相应的对象（计算机、用户或组）不再存在于 Windows 中。这表明指定的 SID 无法再转换为用户或组。

在进行安全审计时，仅报告有效帐户总是更有趣！为了保持其有序和干净，我建议删除孤立的 SID。此外，当存在孤立的 SID 时，您可能会遇到权限问题。

如何使用 PowerShell 删除孤立的 SID

让我们完成这些步骤并使用 PowerShell 删除孤立的 SID。

删除 AD PowerShell 脚本中的孤立 SID

登录域控制器并在(C:)驱动器上创建两个文件夹：

• 脚本

• 温度

下载RemoveOrphanedSID-AD.ps1 PowerShell 脚本并将其放置在C:\scripts 文件夹中。该脚本会将输出日志文件导出到 C:\temp 文件夹。

确保该文件未被阻止，以防止运行脚本时出现任何错误。请阅读文章运行 PowerShell 脚本时出现未数字签名错误来了解更多信息。

运行 RemoveOrphanedSID-AD.ps1 PowerShell 脚本时，可以使用几个选项：

1. 列出所有 AD 对象

2. 列出特定 OU 中的所有 AD 对象

3. 删除孤立的 SID

4. 删除特定 OU 中的孤立 SID

我们将使用选项 1 和选项 3。这将为我们提供所有 AD 对象的列表，并显示是否存在孤立的 SID。之后，从整个域中的 AD 对象中删除孤立的 SID。

列出域中的所有 AD 对象

以管理员身份运行Windows PowerShell。更改脚本文件夹的路径。之后，使用参数/LIST运行脚本RemoveOrphanedSID-AD.ps1。

PS C:\> cd c:\scripts\
PS C:\scripts> .\RemoveOrphanedSID-AD.ps1 /LIST

扫描所有 AD 对象，并显示是否存在孤立的 SID。

打开 C:\temp 文件夹中的 RemoveOrphanedSID-AD.txt 转录日志。它将显示与 PowerShell 输出中相同的内容。

在下一步中，我们将删除孤立的 SID。

删除域中孤立的 SID

使用参数/REMOVE 运行脚本RemoveOrphanedSID-AD.ps1。

PS C:\scripts> .\RemoveOrphanedSID-AD.ps1 /REMOVE

所有 AD 对象都会被扫描，并且会删除孤立的 SID。

打开 C:\temp 文件夹中的 RemoveOrphanedSID-AD.txt 转录日志。它将显示与 PowerShell 输出中相同的内容。

所有孤立的 SID 均已成功从 Active Directory 中删除。

已清理的孤立 SID

安全选项卡权限的之前和之后将显示一切看起来都很棒。

就是这样！

继续阅读：使用 PowerShell 将 AD 用户批量移动到另一个 OU »

结论

您了解了如何使用 PowerShell 删除孤立的 SID。保持 Active Directory 中没有未知的 SID，并运行 RemoveOrphanedSID-AD.ps1 PowerShell 脚本。它将使 AD 保持整洁，不会出现错误的 SID。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 获取 Active Directory 计数。不要忘记关注我们并分享这篇文章。