Joe*_*oel 6 active-directory windows-server-2000 sid
在针对这个问题研究我的问题时,我发现名为“管理员”帐户的域中帐户的 SID 是:
S-1-5-21-2025429265-492894223-1708537768-1124
那肯定是错误的,因为真正的管理员 SID 以 500 结尾。使用相同的域密钥并查找 SIDS-1-5-21-2025429265-492894223-1708537768-500没有任何结果——内置的管理员帐户不存在。
我不知道这是什么时候或如何发生的,我仍在寻找,但我很确定它已经足够长了,我什至没有可以恢复的备份来解决这个问题。
有没有人对如何正确使用它有任何想法?
由于我所说的帐户显然不清楚,我的意思是本知识库文章中“原因”标题下的第二个要点中提到的帐户:http :
//support.microsoft.com/kb/248079
管理员帐户众所周知的安全标识符,或 SID(帐户名可以重命名)
嗯……这绝对是一个“不应该发生”的场景。RID 500 管理员帐户的“isCriticalSystemObject”属性设置为 true,据我所知,如果您尝试删除它,LSASS 应该返回 ERROR_DS_UNWILLING_TO_PERFORM 错误 (0x80072035)。(我现在的任何虚拟机中都没有临时广告来尝试一下。也许稍后......)
无论如何,你如何搜索AD?
从 AD 用户和计算机中,在域的根目录执行“查找”,在“查找”下拉列表中选择“自定义搜索”,转到“高级”选项卡,然后输入 LDAP 搜索过滤器“(objectSid=S -1-5-21-2025429265-492894223-1708537768-500)”。这将为您提供从目录根目录开始的域子树搜索。
如果您确实以某种方式删除了 RID 500 管理员帐户,我强烈考虑联系 Microsoft 产品支持服务。他们可能可以编写一些代码来重新创建帐户(如果他们还没有这样的工具)。我无法想象你是如何设法删除它的,因为我认为做到这一点的唯一方法是通过 ESE 与数据库直接交互。我真的不认为有任何公开的 API 可以让您删除标记为“isCriticalSystemObject”设置为 True 的对象,而且我认为您也不能在 RID 500 管理员上将其设置为 False。嗯...
你那里的情况很有趣。让我们知道上面的子树搜索返回什么。