服务器 Gind.cn
  1. 服务器 Gind.cn
  3. SID在join域和AD身份validation方面的angular色?
Intereting Posts
重写nginx路由为小写 清漆转发客户端IP地址到后端 磁盘名称或其他一些参数丢失 使用named.confconfiguration两个DNS区域 修复固定的“设置区域设置失败”。 Apache“没有权限” – 403禁止 在Mac OS X上安装VHD Server 2012组策略脚本 Sendmail – 中继拒绝(状态14) 在尝试卸载时未find卷或未装入卷 如何在EBS支持的EC2实例上查找和装载实例存储? Linux – 反压力工具的对策 Route53内部与外部之间的区别究竟是什么? MySQL说复制是好的,但数据不会被复制 networking共享文件夹随机消失为用户

SID在join域和AD身份validation方面的angular色?

感谢最近对我的问题的回答,我能够使用sysprep创build一个Windows 7系统映像,准备在我们的组织中进行部署。

我了解到,使用sysprep的过程会为系统创build一个新的机器SID,使得在新部署的系统上运行不需要的newSID软件。 另外,我看到马克Russinovich的博客文章,机器SID不再是一个问题。 不过,我还是有点困惑:

作为本集团的技术支持技术人员之一,我有时会接到客户的电话,他们的电脑无法连接到我们的Windows,或者无法使用他们的AD凭证login(错误信息将沿着“域名无法到达“等,而其他电脑可以)。

根据我们的pipe理员之一,故障在于重复的计算机SID,因为计算机无法login,因为具有相同SID的另一台计算机已经login。他说这就是为什么有时现在不能join域的计算机会突然之间能够join一个小时,因为另一个冲突的机器closures了。

他会要求我们在有问题的计算机上运行newSID来解决问题。 有趣的是,在(1)离开域之后,(2)运行newSID,然后(3)将计算机重新join到我们的域,然后用户能够用AD帐户login。 这似乎与我提到的博客post有冲突,哪个声明机器SID不再有用。

为了更好地帮助我的客户,并更好地了解这一切如何工作,我想问以下几点:

(1)AFAIK,newSID和sysprep都给计算机新的机器 SIDs。 这台机器SID如何在join域名或使用AD凭据login到计算机的过程中发挥作用? 当两台具有相同机器SID的系统试图做什么? 我们的pipe理员说的“SID冲突”与此有什么关系? 为什么可能运行newSID帮助?

(2)这个问题在Windows XP和Windows 7之间有所不同吗?

(3)Microsoft是否有关于这一切的官方文档?

预先感谢您的帮助!

这台机器SID如何在join域名或使用AD凭据login到计算机的过程中发挥作用? 当两台具有相同机器SID的系统试图做什么? 我们的pipe理员说的“SID冲突”与此有什么关系? 为什么可能运行newSID帮助?

这没有帮助。 还有一些其他问题正在通过重新join域名来解决(或暂时席卷地毯)。

唯一可能导致域问题的情况是,如果机器是用来创build该域的第一个域控制器的克隆(没有新的SID)。

由NewSID重新生成的SID不是活动目录中计算机对象的SID(或者更确切地说,子权限ID)(这是您可能遇到冲突的地方),它是用于本地用户帐户数据库的权限ID 。

返回到“第一个域控制器” – 从该机器的SID权限ID成为域的权限ID; 其他具有与本地用户相同的SID的系统也会在域上遇到问题。 除了这种情况之外,不存在任何可能的冲突 – 特别是不会引起域名通信问题的冲突。

换句话说 – 他让你看错了地方:)

这个问题在Windows XP和Windows 7之间有什么不同?

不,同样的行为。

微软有没有关于这一切的官方文档?

那个博客文章可能是最好的文档,真的。

我相信您的pipe理员对SID在域环境中的工作方式有一些不正确的假设。 机器SID不直接与在Active Directory中为机器生成的SID相关联。 关于由于另一台机器在线而无法login或join的机器的这一切真的意味着你的pipe理员对AD的理解还不够。

您看到的问题很可能是由于机器/计算机帐户密码过期所致。 这些密码在AD中自动生成, 每30天旋转一次 。 如果在此期间机器处于脱机状态,它将尝试使用旧密码进行validation。 用户将无法通过这些机器login,因为AD正在积极拒绝对计算机帐户进行身份validation。 我相信您的pipe理员提供的解决scheme的原因是因为在域unjoin / rejoin期间重新生成帐户和密码。 你可以绕过第二步来testing这个理论。

或者,如果您的计算机上有可用的PowerShell v4,则可以使用新的Test-ComputerSecureChannel命令行程序来检查该计算机与域之间的信任关系的状态。 如果powershell v4不可用Netdom也可以用来重置机器密码。

如果您的信任/身份validation检查出来,那么您可能会考虑与您的AD有关的其他问题,可能复制和FSMOangular色的问题。

某些Microsoft软件function(WSUS,SCCM,SCEP等)仍在使用机器帐户SID。 我还看到了第三方供应商使用的机器SID(看着你的赛门铁克)。 你可以逃避不使用sysprepping,但在这个时代的成像技术,没有理由跳过sysprepping你的形象。

关于你的(2)问题。 Win7和XP之间有一些结构上的变化,但据我所知,SID的运行方式不应该有任何根本的改变,虽然我已经说过一些软件需求已经改变。

对于你的第三个问题,我build议你阅读微软的technet页面,查看两个SID ,同时查看Join和Authentication疑难解答页面 (也是technet)。 如果这不能回答你所有的问题,我会考虑拿起一本或两本关于这个话题的文章,但是LDAP和AD可以真正深入地研究,但是背后的概念是现代IT工作者知识的一个重要组成部分。