Cómo: usar Ntdsutil para buscar y limpiar identificadores de seguridad duplicados en Windows Server

Se aplica a: Microsoft Windows ServerWindows Server 2016Windows Server 2012 R2

Resumen


En este artículo se describe cómo buscar y limpiar o quitar identificadores de seguridad duplicados (SID) en la base de datos de SAM.

Todas las cuentas de seguridad, como un usuario, un grupo o un equipo, tienen un SID único. Los permisos de acceso se conceden o deniegan a los SID de recursos como archivos, carpetas, impresoras, buzones de Microsoft Exchange, bases de datos de Microsoft SQL Server, objetos que se almacenan en Active Directory y todos los datos protegidos por Windows Server modelo de seguridad.Un SID contiene información de encabezado y un conjunto de identificadores relativos que identifican el dominio y la cuenta de seguridad. En un dominio, cada controlador de dominio puede crear cuentas y emitir un SID único para cada cuenta. Cada controlador de dominio mantiene un grupo de identificadores relativos que se usa para crear SID. Después de que se consuma el 80 por ciento del grupo de identificadores relativos, el controlador de dominio solicita un nuevo grupo de identificadores relativos del maestro de operaciones de identificador relativo. Esto garantiza que la misma agrupación de identificadores relativos nunca se asigne a distintos controladores de dominio y evita la asignación de SID duplicados. Sin embargo, como es posible (pero raras) la asignación de un grupo de IDENTIFICADOres relativos duplicados, debe identificar las cuentas que se han emitido SID duplicados para evitar que se aplique la seguridad incorrecta.Los grupos de IDENTIFICADOres relativos duplicados pueden producirse si el administrador asume el rol de maestro de IDENTIFICADOres relativos (maestro RID) mientras el maestro RID original está operativo pero se desconecta temporalmente de la red. En la práctica habitual, el rol de maestro RID es asumido por un solo controlador de dominio después de un ciclo de replicación. Sin embargo, antes de que se resuelva la propiedad de los roles, dos controladores de dominio diferentes pueden solicitar un nuevo grupo de IDENTIFICADOres relativos y asignarles el mismo grupo de IDENTIFICADOres relativos.volver al principio

Iniciar Ntdsutil

Para iniciar Ntdsutil, siga estos pasos:

  1. Seleccione iniciar > Ejecutar.
  2. En el cuadro abrir , escriba Ntdsutily, a continuación, presione Entrar. Para obtener acceso a la ayuda en cualquier momento, escriba ? en el símbolo del sistema y, a continuación, presione Entrar.

volver al principio

Buscar un SID duplicado

Para buscar un SID duplicado, siga estos pasos:

  1. En el símbolo del sistema de Ntdsutil, escriba administración de la cuenta de seguridady, a continuación, presione Entrar.
  2. Para conectarse al servidor que almacena la base de datos de mantenimiento de la cuenta de seguridad (SAM), escriba Connect to Server DNSNameOfServer en el símbolo del sistema de Sam y, a continuación, presione Entrar.
  3. En el símbolo del sistema de SAM, escriba check duplicar SIDy, a continuación, presione Entrar. Nota Aparece la pantalla de duplicados.

volver al principio

Limpiar un SID duplicado

  1. En el símbolo del sistema de Ntdsutil, escriba administración de la cuenta de seguridady, a continuación, presione Entrar.
  2. Para conectarse al servidor que almacena la base de datos de mantenimiento de la cuenta de seguridad (SAM), en el símbolo del sistema de SAM, escriba Connect to Server DNSNameOfServery, a continuación, presione Entrar.
  3. En el símbolo del sistema SAM, escriba Cleanup duplicadosy, a continuación, presione Entrar. Nota Ntdsutil confirma la eliminación del duplicado.
  4. En el símbolo del sistema de SAM, escriba qy, a continuación, presione Entrar.
  5. Cuando haya terminado de usar Ntdsutil, escriba qy, a continuación, presione Entrar.

volver al principio