Yinelenen güvenlik tanımlayıcılarını bulmak ve temizlemek için Ntdsutil kullanma
Bu makalede, yinelenen güvenlik tanımlayıcılarını bulmak ve temizlemek için Ntdsutil'in nasıl kullanılacağı açıklanır.
Şunlar için geçerlidir: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Özgün KB numarası: 816099
Özet
Bu makalede, SAM veritabanında yinelenen güvenlik tanımlayıcılarını (SID) denetleme ve temizleme veya kaldırma işlemleri açıklanmaktadır. Kullanıcı, grup veya bilgisayar gibi her güvenlik hesabının benzersiz bir SID'si vardır. Dosyalar, klasörler, yazıcılar, Microsoft Exchange posta kutuları, Microsoft SQL Server veritabanları, Active Directory'de depolanan nesneler ve Windows Server güvenlik modeli tarafından korunan veriler gibi kaynaklar için SID'lere erişim izinleri verilir veya reddedilir.
SID, üst bilgi bilgilerini ve etki alanını ve güvenlik hesabını tanımlayan bir dizi göreli tanımlayıcı içerir. Bir etki alanında, her etki alanı denetleyicisi hesap oluşturabilir ve her hesaba benzersiz bir SID verebilir. Her etki alanı denetleyicisi, SID oluşturmak için kullanılan göreli kimliklerden oluşan bir havuz tutar. Göreli kimlik havuzunun yüzde 80'i tüketildikten sonra, etki alanı denetleyicisi göreli kimlik işlemleri yöneticisinden yeni bir göreli tanımlayıcı havuzu ister. Aynı göreli kimlik havuzunun hiçbir zaman farklı etki alanı denetleyicilerine ayrılmadığından ve yinelenen SID'lerin ayrılmasını önlediğinden emin olun. Ancak, yinelenen bir göreli kimlik havuzunun ayrılması mümkün (ancak nadir) olduğundan, yanlış güvenliğin uygulanmasını önlemek için yinelenen SID'ler verilmiş olan hesapları tanımlamanız gerekir.
Özgün RID yöneticisi çalışır durumdayken ancak ağ bağlantısı geçici olarak kesildiğinde, yönetici göreli kimlik yöneticisi rolünü (RID yöneticisi) alırsa, yinelenen göreli kimlik havuzları oluşabilir. Tipik uygulamada RID ana rolü, bir çoğaltma döngüsünden sonra yalnızca bir etki alanı denetleyicisi tarafından varsayılır. Ancak rol sahipliği çözümlenmeden önce iki farklı etki alanı denetleyicisi yeni bir göreli kimlik havuzu isteyebilir ve aynı göreli kimlik havuzuna atanabilir.
Ntdsutil'i başlatma
Ntdsutil'i başlatmak için şu adımları izleyin:
- Başlat>Çalıştır'ı seçin.
- Aç kutusuna ntdsutil yazın ve Enter tuşuna basın. İstediğiniz zaman Yardım'a erişmek için komut istemine yazın
?ve Enter tuşuna basın.
Yinelenen SID'yi arama
Yinelenen SID'yi aramak için şu adımları izleyin:
Ntdsutil komut isteminde güvenlik hesabı yönetimi yazın ve Enter tuşuna basın.
Güvenlik Hesabı Bakımı (SAM) veritabanınızı depolayan sunucuya bağlanmak için SAM komut istemine yazın
connect to serverDNSNameOfServerve Enter tuşuna basın.SAM komut isteminde yinelenen sid'yi denetle yazın ve Enter tuşuna basın.
Not
Yinelenenlerin bir görüntüsü görüntülenir.
Yinelenen SID'yi temizleme
Ntdsutil komut isteminde güvenlik hesabı yönetimi yazın ve Enter tuşuna basın.
Güvenlik Hesabı Bakımı (SAM) veritabanınızı depolayan sunucuya bağlanın. SAM komut isteminde 'serverDNSNameOfServer'a bağlan' yazın ve Enter tuşuna basın.
SAM komut isteminde yinelenen sid'yi temizleme yazın ve Enter tuşuna basın.
Not
Ntdsutil, yinelenen öğeyi kaldırma işlemini onaylar.
SAM komut isteminde q yazın ve Enter tuşuna basın.
Ntdsutil'i kullanmayı bitirdikten sonra q yazın ve Enter tuşuna basın.
Veri toplama
Microsoft desteğinden yardıma ihtiyacınız varsa, Active Directory çoğaltma sorunları için TSS kullanarak bilgi toplama bölümünde belirtilen adımları izleyerek bilgileri toplamanızı öneririz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin