KB5040758: حذف كائن Trust قديم أو تالف أو معزول في Active Directory

المقدمة

قد تصبح العناصر المخزنة في Active Directory قديمة أو تالفة أو معزولة بسبب تعارضات النسخ المتماثل.

تركز هذه المقالة على كائنات الثقة التي يمكن تعريفها بواسطة بت "INTERDOMAIN_TRUST_ACCOUNT" في السمة userAccountControl . للحصول على معلومات مفصلة حول هذا البت، راجع userAccountControl Bits.

الأعراض

يتم تمثيل علاقات الثقة في Active Directory من خلال ما يلي:

• حساب مستخدم ملصق بحرف $ زائد.

• كائن مجال موثوق به (TDO) مخزن في حاوية النظام لقسم دليل المجال.

سيؤدي إنشاء علاقات ثقة مكررة إلى إنشاء كائنين يحتويان على أسماء حسابات إدارة حسابات الأمان (SAM) المكررة. في العنصر الثاني، يحل SAM التعارض عن طريق إعادة تسمية الكائن إلى $DUPLICATE-<حساب RID>. لا يمكن حذف الكائن المكرر ويصبح "معزولا".

هناك سيناريوهان أساسيان للثقة القديمة:

• السيناريو 1: الثقة بالمستخدم في حالة التعارض

  قد يتعين حذف مستخدم الثقة في السيناريوهات التي توجد فيها غابتان وتم إنشاء ثقة مسبقا بين المجالات في تلك الغابات. عند إنشاء الثقة لأول مرة، كانت هناك مشكلة تمنع النسخ المتماثل. قد يكون المسؤول قد نقل أو استولى على دور العملية الرئيسية الفردية المرنة (FSMO) لوحدة التحكم بالمجال الأساسي (PDC) وإنشاء الثقة مرة أخرى على وحدة تحكم مجال أخرى (DC).

  لاحقا، عند إعادة إنشاء النسخ المتماثل ل Active Directory، سينسخ المستخدمان الموثوقان نسخا متماثلا إلى نفس DC، مما يتسبب في تعارض في التسمية. سيتم تعيين عنصر مستخدم الثقة إلى DN متعارض (CNF)؛ على سبيل المثال:

  CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com

  سيظهر samAccountName أيضا منجلا:

  $DUPLICATE-3159f

  سيظهر الكائن الذي لا يحتوي على تعارض الاسم عاديا ويعمل بشكل صحيح. من الممكن إزالة الثقة وإعادة إنشائها.

• السيناريو 2: الثقة في المستخدم المعزول

  وبالمثل كما هو الحال في السيناريو 1، قد تكون هناك حاجة لتحرير أو حذف مستخدم ثقة إذا لم يعد شريك الثقة والثقة موجودا، ولكن لا يزال مستخدم الثقة في قاعدة بيانات Active Directory. عادة ما تكون كلمة المرور لهذه الحسابات قديمة، مما يؤدي إلى وضع علامة على هذا الحساب بواسطة أدوات فحص الأمان.

رسائل الخطأ عندما يحاول المسؤول تحرير سمات الثقة

لا يمكن تغيير السمات الرئيسية أو حذف كائن مستخدم الثقة المعزول. يتم إعطاء الخطأ التالي بعد محاولة تغيير السمات التي تحمي الكائن:

مربع الحوار "خطأ"	رسالة الخطأ
	فشلت العملية. رمز الخطأ: 0x209a الوصول إلى السمة غير مسموح به لأن السمة مملوكة من قبل Security Accounts Manager (SAM). 0000209A: SvcErr: DSID-031A1021، المشكلة 5003 (WILL_NOT_PERFORM)، البيانات 0

عندما يحاول مسؤول إزالة الكائن، فإنه يفشل مع 0x5 الخطأ، وهو ما يعادل "تم رفض الوصول". أو قد لا يظهر كائن الثقة المتضارب في الأداة الإضافية "المجالات والثقات" في Active Directory.

مربع الحوار "خطأ"	رسالة الخطأ
	فشلت العملية. رمز الخطأ: 0x5 تم رفض الوصول. 00000005:SecErr:DSID-031A11ED،المشكلة 4003 (INSUFF_ACCESS_RIGHTS)، البيانات 0.

السبب

تحدث هذه المشكلة لأن عناصر الثقة مملوكة من قبل النظام ولا يمكن تعديلها أو حذفها إلا من قبل المسؤولين الذين يستخدمون مجالات Active Directory و Trusts MMC. هذه الوظيفة حسب التصميم.

الدقة

بعد تثبيت تحديثات Windows في 14 مايو 2024 على وحدات التحكم بالمجال التي تعمل بنظام التشغيل Windows Server 2019 أو إصدار أحدث من Windows Server، أصبح من الممكن الآن حذف حسابات الثقة المعزولة باستخدام عملية schemaUpgradeInProgress. للقيام بذلك، اتبع هذه الخطوات:

1. حدد حساب مستخدم ثقة معزول في مجالك. على سبيل المثال، هذا الإخراج من LDP.exe؛ يعرض علامة userAccountControl0x800 التي تحدد مستخدم الثقة:

   توسيع القاعدة 'CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
   الحصول على إدخالات 1:
   Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
   …

   primaryGroupID: 513 = ( GROUP_RID_USERS );
   pwdLastSet: 4/27/2013 10:03:05 مساء بالتوقيت العالمي المتفق عليه؛
   sAMAccountName: NORTHWINDSALES$؛
   sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
   userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
   ;…

2. إذا لزم الأمر، أضف حساب مسؤول مجال من مجال حسابات الثقة القديمة إلى مجموعة "مسؤولي المخطط" في المجال الجذر للغابة. (يجب أن يكون للحساب المستخدم للحذف حق الوصول إلى عنصر التحكم "Control-Schema-Master" مباشرة على جذر النسخة المتماثلة ل Schema NC ويجب أن يكون قادرا على تسجيل الدخول إلى DC الذي يحتفظ بالحساب المعزول.)

3. تأكد من تثبيت تحديثات Windows في 14 مايو 2024 أو أحدث على DC قابل للكتابة في مجال حسابات الثقة القديمة.

4. تسجيل الدخول إلى DC هذا باستخدام حساب مسؤول المخطط. إذا أضفت حسابا إلى مجموعة "مسؤولي المخطط" في الخطوة 2، فاستخدم هذا الحساب.

5. قم بإعداد ملف استيراد LDIFDE لتعديل SchemaUpgradeInProgress وحذف الكائن.
   
   على سبيل المثال، يمكن لصق النص أدناه في ملف استيراد LDIFDE لحذف الكائن المحدد في الخطوة 1:

   dn:
   changetype: تعديل
   إضافة: SchemaUpgradeInProgress
   SchemaUpgradeInProgress: 1
   -

   dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
   نوع التغيير: حذف

   تلميحات حول بناء جملة LDIFDE:

   • يعد الخط الذي يحتوي على واصلة فقط ("-") أمرا حيويا، لأنه ينهي سلسلة التغييرات ضمن نوع التغيير "تعديل".

   • يعد الخط الفارغ بعد السطر مع الواصلة أمرا حيويا أيضا، لأنه يظهر LDIFDE أن جميع التعديلات على العنصر مكتملة ويجب الالتزام بالتغييرات.

6. استيراد ملف LDIFDE باستخدام بناء الجملة التالي:

   ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j

   الملاحظات

   • تشير المعلمة /i إلى عملية استيراد.

   • تشير المعلمة /f متبوعة باسم ملف إلى الملف الذي يحتوي على التغييرات.

   • ستكتب المعلمة /j متبوعة بمسار logfile ldif.log وملف ldif.err مع نتائج التحديث، وما إذا كان الإجراء قد عمل، وإذا لم ينجح، الخطأ الذي حدث أثناء الوحدة.

   • تحديد فترة (".") مع المعلمة /j ستكتب السجلات في دليل العمل الحالي.

7. إذا لزم الأمر، قم بإزالة مسؤول المجال الذي تمت إضافته مسبقا في الخطوة 2 من مجموعة "مسؤولي المخطط".