Usare Ntdsutil per trovare e pulire identificatori di sicurezza duplicati

  • Articolo

Questo articolo illustra come usare Ntdsutil per trovare e pulire identificatori di sicurezza duplicati.

Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 816099

Riepilogo

Questo articolo descrive come verificare e pulire o rimuovere identificatori di sicurezza duplicati (SID) nel database SAM. Ogni account di sicurezza, ad esempio un utente, un gruppo o un computer, ha un SID univoco. Le autorizzazioni di accesso vengono concesse o negate ai SID per le risorse, ad esempio file, cartelle, stampanti, cassette postali di Microsoft Exchange, database di Microsoft SQL Server, oggetti archiviati in Active Directory ed eventuali dati protetti dal modello di sicurezza di Windows Server.

Un SID contiene informazioni sull'intestazione e un set di identificatori relativi che identificano il dominio e l'account di sicurezza. In un dominio, ogni controller di dominio può creare account ed emettere un SID univoco per ogni account. Ogni controller di dominio gestisce un pool di ID relativi usati per creare SID. Dopo l'utilizzo dell'80% del pool di ID relativi, il controller di dominio richiede un nuovo pool di identificatori relativi al master operazioni ID relativo. Assicurarsi che lo stesso pool di ID relativi non sia mai allocato a controller di dominio diversi e impedisce l'allocazione di SID duplicati. Tuttavia, poiché è possibile (ma raro) allocare un pool di ID relativi duplicati, è necessario identificare gli account che sono stati emessi SID duplicati per impedire l'applicazione di una sicurezza non corretta.

È possibile che si verifichino pool di ID relativi duplicati se l'amministratore rileva il ruolo master ID relativo (master RID), mentre il master RID originale è operativo ma temporaneamente disconnesso dalla rete. In genere, il ruolo master RID viene assunto da un solo controller di dominio dopo un ciclo di replica. Tuttavia, prima che la proprietà del ruolo venga risolta, due controller di dominio diversi possono richiedere un nuovo pool di ID relativi e allocare lo stesso pool di ID relativo.

Avviare Ntdsutil

Per avviare Ntdsutil, seguire questa procedura:

  1. Selezionare Start>Esegui.
  2. Nella casella Apri digitare ntdsutil e quindi premere INVIO. Per accedere alla Guida in qualsiasi momento, digitare ? al prompt dei comandi e quindi premere INVIO.

Cercare un SID duplicato

Per cercare un SID duplicato, seguire questa procedura:

  1. Al prompt dei comandi di Ntdsutil digitare Gestione account di sicurezza e quindi premere INVIO.

  2. Per connettersi al server che archivia il database SAM (Security Account Maintenance), digitare connect to serverDNSNameOfServer al prompt dei comandi SAM e quindi premere INVIO.

  3. Al prompt dei comandi SAM digitare check duplicate sid e quindi premere INVIO.

    Nota

    Viene visualizzata una visualizzazione dei duplicati.

Pulire un SID duplicato

  1. Al prompt dei comandi di Ntdsutil digitare Gestione account di sicurezza e quindi premere INVIO.

  2. Connettersi al server che archivia il database SAM (Security Account Maintenance). Al prompt dei comandi SAM digitare 'connect to serverDNSNameOfServer' e quindi premere INVIO.

  3. Al prompt dei comandi SAM digitare cleanup duplicate sid e quindi premere INVIO.

    Nota

    Ntdsutil conferma la rimozione del duplicato.

  4. Al prompt dei comandi SAM digitare q e quindi premere INVIO.

  5. Al termine dell'uso di Ntdsutil, digitare q e quindi premere INVIO.

Raccolta dei dati

Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.