标签: sid

我有两个错误创建的 AD 组，而应该只有一个组；它们包含完全相同的用户。但是，这些组已被分配了对各种资源（如文件共享）的各种权限，我无法跟踪所有这些资源并将它们重置为仅引用一个组。

如果我删除其中一个组并将其 SID 放在另一个组的 SID 历史记录中，我可以“合并”这两个组吗？这是否会允许剩余组的成员访问那些已授予已删除资源权限的资源？

更新：

看起来没有简单的方法可以将 SID 添加到用户或组的 SID 历史记录中；至少，ADUC 和 ADSIEdit 都无法做到这一点。如果上述技巧有效，这实际上如何实现？

我以某种方式删除/etc/hosts了我的测试系统，即 Debian Sid。现在我想安装默认的/etc/hosts. 我试图dpkg -S /etc/hosts找出哪个包包含/etc/hosts，但没有找到。我可以从哪里下载？

我有ldapsearch 命令返回的objectSid属性，如何以人类可读的格式从中生成SID？

ldapsearch 命令：

ldapsearch -LLL -H ldap://dc.example.com:389 -b dc=example,dc=lk -D example\administrator -w adminPassword "(sAMAccountName=bob)" | grep -i "objectSid::" | cut -d ":" -f3 | xargs

此命令返回 AD 用户“bob”的 objectSid。假设它返回 objectSid 为：

AQUAAAAAAAUVAAAAPWW1S5rojK4mDAiG5BAAAA==

我想以下列格式生成它的 SID：

S-1-5-21-1270179133-2928470170-2248674342-4324

是否可以在 Linux 中执行此操作？

参考：使用 ldapsearch 通过对象 GUID 获取对象

在针对这个问题研究我的问题时，我发现名为“管理员”帐户的域中帐户的 SID 是：
S-1-5-21-2025429265-492894223-1708537768-1124

那肯定是错误的，因为真正的管理员 SID 以 500 结尾。使用相同的域密钥并查找 SIDS-1-5-21-2025429265-492894223-1708537768-500没有任何结果——内置的管理员帐户不存在。

我不知道这是什么时候或如何发生的，我仍在寻找，但我很确定它已经足够长了，我什至没有可以恢复的备份来解决这个问题。

有没有人对如何正确使用它有任何想法？

由于我所说的帐户显然不清楚，我的意思是本知识库文章中“原因”标题下的第二个要点中提到的帐户：http :
//support.microsoft.com/kb/248079

管理员帐户众所周知的安全标识符，或 SID（帐户名可以重命名）

我有许多运行 Win2k3 和 2k8R2 的机器，我想加入域。所有机器都从同一个镜像创建，没有使用 sysprep 或任何类似的东西。这意味着它们都具有相同的 SID。如果我尝试将所有这些加入同一个域，我会遇到任何问题吗？

我已经在几台测试机器上尝试过这个，当域控制器来自与所有其他计算机相同的图像时我遇到了问题（我看到错误日志消息抱怨域控制器 SID 与机器 SID 相同）。

我对新安装的域控制器进行了另一次测试（因此它们具有不同的 SID），一切看起来都还不错。

我对此做了一些研究，发现了一些相互矛盾的信息。我可以找到很多对这篇文章的引用，这似乎表明重复的 SID 没有问题。我还发现很多人说除非我纠正 SID，否则会发生可怕的不可描述的事情。

这些重复的 SID 会导致问题吗？

在任何人提出这些建议之前：

• 用新的 SID 对所有这些机器进行全新安装是不可能的，要通过所有机器需要几个月的时间。
• Newsid.exe 已被正式弃用，这不是我愿意尝试的东西。它的开发者没有在比 XP 更新的任何东西上测试过它。
• 现有计算机不支持Sysprep 。（第二段）

我不小心删除了一个用户帐户，需要使用相同的 SID 重新创建它。我创建了一个同名的新用户帐户，但如何编辑该objectSid属性？ADSIEDIT 错误与“不允许访问该属性，因为该属性归安全帐户管理器 (SAM) 所有”。还有其他方法吗？

如果我只有用户的 SID，如何确定用户名和域？

我昨晚 V2V 一个 Hyper-V 来宾在生产中运行 Exchange 2007 到 ESXi 4.1。今天我发现，虽然交换有效，但我无法向其中添加新的组织和邮箱。阅读了一些关于该主题的内容，如果我理解正确，则 SID 已更改，因此 AD 和 Exchange 服务器之间的信任已被破坏。对我来说，用户完全可以使用它是一个谜。

我以前没有设置交换的经验，所以我愿意交火，以便在不进行全新安装的情况下使其工作（使用“setup.exe /M:RecoverServer”？）。据我了解，我有以下选择：

1. 从基于 Hyper V 的旧服务器获取旧 SID，然后更改 vmware exchange 2007 上的 SID，或更改 AD 中交换的 SID。人们似乎普遍认为这是一个充满麻烦的世界，但它可行吗？我不会害怕测试它，我总是可以恢复到虚拟机的快照。其他优点和缺点？

2. 使用 RecoverServer 开关重新安装 Windows 和交换。好处将是windows 2008的R2，并在此过程中了解交流。 但我知道只是简单地替换 ssl 证书很麻烦，而且显然我们有大量自定义本地规则，因为与（现已停产）DotNetPanel 和托管交换性质的集成。据我所知，DotNetPanel 服务器二进制文件不再可用，因此还需要我们进行全面测试，然后在生产中将 15 个服务器迁移到 WebSitePanel。

3. 将邮箱数据库重新附加到旧的 Exchange 2007，并且无法从 HP MSA 硬件上的 Hyper V 移动。离开它，继续前进并忘记？:)

4. 认输，要么获得 Microsoft 支持，要么干脆投资（大量）聘请顾问。

编辑：创建新邮箱时的错误消息类似于“地址列表服务失败”。我明天上班时会检查确切的消息。我很抱歉没有包括它。

编辑 2：这显然不是因为 SID 的更改，我会将其移至新帖子，因为问题与（更改）SID 完全无关。新线程在这里

给定用户或组的 SID，如何找到属于它的 LDAP 对象？
LDAP 服务器是 Active Directory (Windows Server 2008)。

LDAP 查询字符串会很有用。

我正在研究活动目录和组策略的一些奇怪问题。此域已从 Windows NT 升级，并且多年来有几个不同的管理员。我正在查看默认域组策略和默认域控制器组策略。在安全区域，以登录本地区域为例，它显示了以星号开头并且很长的SID，它们看起来像下面这样

*S-1-5-21-787626...

通常，当我看到这样的事情时，我会认为用户帐户不再存在并且从未清理过。我的假设错了吗？提前致谢