Usar o Ntdsutil para localizar e limpo identificadores de segurança duplicados

  • Artigo

Este artigo discute como usar o Ntdsutil para localizar e limpo identificadores de segurança duplicados.

Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 816099

Resumo

Este artigo descreve como marcar para e limpo ou remover SIDs (identificadores de segurança duplicados) no banco de dados SAM. Cada conta de segurança, como um usuário, grupo ou computador, tem um SID exclusivo. As permissões de acesso são concedidas ou negadas aos SIDs para recursos, como arquivos, pastas, impressoras, caixas de correio do Microsoft Exchange, bancos de dados do Microsoft SQL Server, objetos armazenados no Active Directory e todos os dados protegidos pelo modelo de segurança do Windows Server.

Um SID contém informações de cabeçalho e um conjunto de identificadores relativos que identificam o domínio e a conta de segurança. Em um domínio, cada controlador de domínio pode criar contas e emitir um SID exclusivo para cada conta. Cada controlador de domínio mantém um pool de IDs relativas que é usado para criar SIDs. Depois que 80% do pool de ID relativo é consumido, o controlador de domínio solicita um novo pool de identificadores relativos das operações de ID relativas master. Verifique se o mesmo pool de IDs relativas nunca é alocado para controladores de domínio diferentes e impede a alocação de SIDs duplicados. No entanto, como é possível (mas raro) que um pool de ID relativo duplicado seja alocado, você precisa identificar as contas que foram emitidas SIDs duplicadas para evitar que a segurança incorreta seja aplicada.

Pools de ID relativo duplicados podem ocorrer se o administrador apreender a função de ID relativa master (RID master), enquanto o RID original master estiver operacional, mas temporariamente desconectado da rede. Na prática típica, a função RID master é assumida por apenas um controlador de domínio após um ciclo de replicação. No entanto, antes que a propriedade da função seja resolvida, dois controladores de domínio diferentes poderão solicitar um pool de ID relativo e alocar o mesmo pool de ID relativo.

Iniciar o Ntdsutil

Para iniciar o Ntdsutil, siga estas etapas:

  1. Selecione Iniciar>Executar.
  2. Na caixa Abrir , digite ntdsutil e pressione Enter. Para acessar a Ajuda a qualquer momento, digite ? no prompt de comando e pressione Enter.

Procure um SID duplicado

Para procurar um SID duplicado, siga estas etapas:

  1. No prompt de comando Ntdsutil, digite gerenciamento de conta de segurança e pressione Enter.

  2. Para se conectar ao servidor que armazena o banco de dados SAM (Manutenção da Conta de Segurança), digite connect to serverDNSNameOfServer no prompt de comando SAM e pressione Enter.

  3. No prompt de comando SAM, digite marcar sid duplicado e pressione Enter.

    Observação

    Uma exibição de duplicatas é exibida.

Limpar um SID duplicado

  1. No prompt de comando Ntdsutil, digite gerenciamento de conta de segurança e pressione Enter.

  2. Conecte-se ao servidor que armazena o banco de dados SAM (Manutenção da Conta de Segurança). No prompt de comando SAM, digite "conectar-se ao serverDNSNameOfServer" e pressione Enter.

  3. No prompt de comando SAM, digite o sid duplicado de limpeza e pressione Enter.

    Observação

    Ntdsutil confirma a remoção da duplicata.

  4. No prompt de comando SAM, digite q e pressione Enter.

  5. Depois de terminar de usar o Ntdsutil, digite q e pressione Enter.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.