Uso de Ntdsutil para buscar y limpiar identificadores de seguridad duplicados

  • Artículo

En este artículo se describe cómo usar Ntdsutil para buscar y limpiar identificadores de seguridad duplicados.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 816099

Resumen

En este artículo se describe cómo buscar y limpiar o quitar identificadores de seguridad duplicados (SID) en la base de datos SAM. Cada cuenta de seguridad, como un usuario, un grupo o un equipo, tiene un SID único. Los permisos de acceso se conceden o deniegan a los SID para los recursos, como archivos, carpetas, impresoras, buzones de Microsoft Exchange, bases de datos de Microsoft SQL Server, objetos almacenados en Active Directory y cualquier dato protegido por el modelo de seguridad de Windows Server.

Un SID contiene información de encabezado y un conjunto de identificadores relativos que identifican el dominio y la cuenta de seguridad. En un dominio, cada controlador de dominio puede crear cuentas y emitir un SID único para cada cuenta. Cada controlador de dominio mantiene un grupo de identificadores relativos que se usa para crear SID. Después de consumir el 80 % del grupo de identificadores relativos, el controlador de dominio solicita un nuevo grupo de identificadores relativos al maestro de operaciones de identificador relativo. Asegúrese de que el mismo grupo de identificadores relativos nunca se asigna a distintos controladores de dominio e impide la asignación de SID duplicados. Sin embargo, dado que es posible (pero poco frecuente) que se asigne un grupo de identificadores relativos duplicados, debe identificar las cuentas que se han emitido SID duplicados para evitar que se aplique una seguridad incorrecta.

Pueden producirse grupos de identificadores relativos duplicados si el administrador aprovecha el rol maestro de identificador relativo (maestro RID), mientras que el maestro rid original está operativo pero desconectado temporalmente de la red. En la práctica típica, solo un controlador de dominio asume el rol maestro de RID después de un ciclo de replicación. Sin embargo, antes de que se resuelva la propiedad del rol, dos controladores de dominio diferentes podrían solicitar un nuevo grupo de identificadores relativos y asignarse el mismo grupo de identificadores relativos.

Inicio de Ntdsutil

Para iniciar Ntdsutil, siga estos pasos:

  1. Seleccione Inicio>Ejecutar.
  2. En el cuadro Abrir , escriba ntdsutil y presione Entrar. Para acceder a la Ayuda en cualquier momento, escriba ? en el símbolo del sistema y presione Entrar.

Buscar un SID duplicado

Para buscar un SID duplicado, siga estos pasos:

  1. En el símbolo del sistema ntdsutil, escriba administración de cuentas de seguridad y presione Entrar.

  2. Para conectarse al servidor que almacena la base de datos de mantenimiento de cuentas de seguridad (SAM), escriba connect to serverDNSNameOfServer en el símbolo del sistema sam y presione Entrar.

  3. En el símbolo del sistema SAM, escriba check duplicate sid y presione Entrar.

    Nota:

    Aparece una presentación de duplicados.

Limpieza de un SID duplicado

  1. En el símbolo del sistema ntdsutil, escriba administración de cuentas de seguridad y presione Entrar.

  2. Conéctese al servidor que almacena la base de datos de mantenimiento de cuentas de seguridad (SAM). En el símbolo del sistema SAM, escriba "connect to serverDNSNameOfServer" (Conectarse a serverDNSNameOfServer) y, a continuación, presione Entrar.

  3. En el símbolo del sistema SAM, escriba cleanup duplicate sid y presione Entrar.

    Nota:

    Ntdsutil confirma la eliminación del duplicado.

  4. En el símbolo del sistema SAM, escriba q y presione Entrar.

  5. Después de terminar de usar Ntdsutil, escriba q y presione Entrar.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.