Отговори на въпросите на читателите, Windows IT Pro
Могат ли два акаунта на Active Directory (AD) да имат един и същ SID? Ако е така, как да премахнете дубликата?
Jean de Clercq: Съществуват защитни механизми за предотвратяване на дублиране на идентификатори за сигурност (SID) в домейн на Windows. По дефиниция SID са уникални в рамките на домейн на Windows, но защитата на AD може случайно да даде на два акаунта един и същ SID при прехвърляне на главната роля на FSMO на относителния идентификатор (RID) от един домейн контролер (DC) на друг.
Контролерът на домейни (DC), който играе ролята на FSMO на RID Master, проследява всички RID пулове, присвоени на различни DC в домейна. RID Master гарантира, че на всеки DC се присвоява уникален RID пул, който не се припокрива. RID Master предотвратява появата на дублирани SID в домейна, защото RID е част от SID на принципалите на защитата. SID на всеки AD акаунт се състои от домейн SID и RID, а RID е уникален за всеки принципал на защита в домейна.
Дублиращи се SID могат да възникнат, когато администратор прехвърли (или „изземе“ в терминологията на AD) ролята на главния RID на друг DC, докато оригиналният RID мастер е офлайн - например поради временно прекъсване на работата на мрежата. Когато мрежовата свързаност бъде възстановена, главният RID, който все още не е получил актуализирана информация за репликацията на AD, включително прехвърлянето на главната роля на RID, може да издаде на домейн контролера RID пул, идентичен на този, издаден преди това от друг DC от друг RID мастер. Тези DC могат да генерират идентични RID и следователно същите SID за новосъздадени акаунти.
За да избегнете дублиране, след прехвърляне на главната роля на RID от един DC в друг, трябва да проверите AD за същите SID и да премахнете дубликати. Можете да идентифицирате и премахнете дублирани SID от командния ред, като използвате помощната програма ntdsutil, както е показано по-долу.
За да идентифицирате дублиращи се акаунти, направете следното:
Тези стъпки създават регистрационен файл с име dupsid.log в директорията на файловата система, от която е стартиран ntdsutil. Дублирани SID, идентифицирани в AD, ще бъдат изброени във файла dupsid.log.
За да премахнете дублиращи се SID, направете следното:
Тези стъпки гарантират, че един от двата дубликата със същия SID е премахнат, акаунтът с новия глобален уникален идентификатор (GUID) AD. След това трябва ръчно да създадете отново изтрити акаунти, които автоматично ще получават нови уникални SID.
Има ли лесен начин за архивиране и възстановяване на разрешенията за споделяне, дефинирани в Windows XP или Windows Vista?