Verwenden von Ntdsutil zum Suchen und sauber doppelter Sicherheits-IDs

  • Artikel

In diesem Artikel wird erläutert, wie Sie ntdsutil verwenden, um doppelte Sicherheits-IDs zu suchen und zu sauber.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 816099

Zusammenfassung

In diesem Artikel wird beschrieben, wie Sie in der SAM-Datenbank nach und sauber suchen oder doppelte Sicherheits-IDs (SIDs) entfernen. Jedes Sicherheitskonto, z. B. ein Benutzer, eine Gruppe oder ein Computer, verfügt über eine eindeutige SID. Zugriffsberechtigungen werden SIDs für Ressourcen gewährt oder verweigert, z. B. Dateien, Ordner, Drucker, Microsoft Exchange-Postfächer, Microsoft SQL Server Datenbanken, objekte, die in Active Directory gespeichert sind, und alle Daten, die durch das Windows Server-Sicherheitsmodell geschützt sind.

Eine SID enthält Headerinformationen und einen Satz relativer Bezeichner, die die Domäne und das Sicherheitskonto identifizieren. In einer Domäne kann jeder Domänencontroller Konten erstellen und für jedes Konto eine eindeutige SID ausstellen. Jeder Domänencontroller verwaltet einen Pool mit relativen IDs, der zum Erstellen von SIDs verwendet wird. Nachdem 80 Prozent des relativen ID-Pools genutzt wurden, fordert der Domänencontroller einen neuen Pool mit relativen Bezeichnern aus den relativen ID-Vorgängen master an. Stellen Sie sicher, dass derselbe Pool mit relativen IDs niemals verschiedenen Domänencontrollern zugeordnet wird, und verhindern Sie die Zuweisung doppelter SIDs. Da es jedoch möglich (aber selten) ist, dass ein doppelter relativer ID-Pool zugeordnet wird, müssen Sie die Konten identifizieren, die doppelte SIDs ausgestellt haben, um zu verhindern, dass falsche Sicherheit angewendet wird.

Doppelte relative ID-Pools können auftreten, wenn der Administrator die relative ID master Rolle (RID master) übernimmt, während die ursprüngliche RID-master betriebsbereit ist, aber vorübergehend vom Netzwerk getrennt ist. In der Regel wird die RID-master Rolle nach einem Replikationszyklus von nur einem Domänencontroller übernommen. Bevor der Rollenbesitz jedoch aufgelöst wird, können zwei verschiedene Domänencontroller jeweils einen neuen relativen ID-Pool anfordern und demselben relativen ID-Pool zugeordnet werden.

Ntdsutil starten

Führen Sie die folgenden Schritte aus, um Ntdsutil zu starten:

  1. Klicken Sie auf Start>Ausführen.
  2. Geben Sie im Feld Öffnenden Namen ntdsutil ein, und drücken Sie dann die EINGABETASTE. Um jederzeit auf hilfe zuzugreifen, geben Sie ? an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.

Suchen nach einer doppelten SID

Führen Sie die folgenden Schritte aus, um nach einer doppelten SID zu suchen:

  1. Geben Sie an der Ntdsutil-Eingabeaufforderung Sicherheitskontoverwaltung ein, und drücken Sie dann die EINGABETASTE.

  2. Wenn Sie eine Verbindung mit dem Server herstellen möchten, auf dem Ihre DATENBANK für die Sicherheitskontowartung (Security Account Maintenance, SAM) gespeichert ist, geben Sie connect to serverDNSNameOfServer an der SAM-Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie an der SAM-Eingabeaufforderung doppelte Sid überprüfen ein, und drücken Sie dann die EINGABETASTE.

    Hinweis

    Eine Anzeige von Duplikaten wird angezeigt.

Bereinigen einer doppelten SID

  1. Geben Sie an der Ntdsutil-Eingabeaufforderung Sicherheitskontoverwaltung ein, und drücken Sie dann die EINGABETASTE.

  2. Stellen Sie eine Verbindung mit dem Server her, auf dem Ihre SAM-Datenbank (Security Account Maintenance) gespeichert wird. Geben Sie an der SAM-Eingabeaufforderung "connect to serverDNSNameOfServer" ein, und drücken Sie dann die EINGABETASTE.

  3. Geben Sie an der SAM-Eingabeaufforderung cleanup duplicate sid ein, und drücken Sie dann die EINGABETASTE.

    Hinweis

    Ntdsutil bestätigt die Entfernung des Duplikats.

  4. Geben Sie an der SAM-Eingabeaufforderung q ein, und drücken Sie dann die EINGABETASTE.

  5. Geben Sie nach Abschluss der Verwendung von Ntdsutil q ein, und drücken Sie dann die EINGABETASTE.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.