Sissejuhatus
Active Directorys talletatud objektid võivad muutuda tiražeerimiskonfliktide tõttu aegunuks, rikutuks või orbobjektiks.
Selles artiklis keskendutakse usaldusobjektidele, mida saab tuvastada atribuudi userAccountControl bitiga "INTERDOMAIN_TRUST_ACCOUNT". Üksikasjalikku teavet selle biti kohta leiate teemast userAccountControl Bits.
Tunnused
Usaldussuhted esitatakse Active Directorys järgmiselt.
-
Kasutajakonto, mille kinnitatakse lõpumärgiga $.
-
Usaldusväärne domeeniobjekt (TDO), mis on talletatud domeenikataloogi sektsiooni süsteemiümbrises.
Duplikaatuste loomisel luuakse kaks objekti, millel on dubleeritud turbekontohalduri (SAM) kontonimed. Teisel objektil lahendab SAM konflikti, nimetades objekti ümber $DUPLICATE-<Account RID>. Duplikaatobjekti ei saa kustutada ja see muutub orbobjektiks.
Märkus Active Directory objekt on "orb", kui see tähistab active Directorys talletatud reaalajas tütarobjekti, mille emaümbris puudub. Seda terminit kasutatakse mõnikord ka Active Directory aegunud või rikutud objektile viitamiseks, mida ei saa tavalise töövoo abil kustutada.
On kaks peamist aegunud usaldusstsenaariumi.
-
1. stsenaarium: usalda kasutajat konfliktiolekus
Võimalik, et usalduskasutaja tuleb kustutada stsenaariumides, kus on kaks metsa ja nendes metsades on domeenide vahel varem loodud usaldus. Usalduse esmakordsel loomisel ilmnes probleem, mis takistas tiražeerimist. Administraator võib olla esmase domeenikontrolleri (PDC) paindliku ühtse juhttoimingu (FSMO) rolli üle kandinud või selle arestinud ja loonud usalduse uuesti mõne muu domeenikontrolleri (DC) jaoks.
Hiljem, kui Active Directory tiražeerimine taastatakse, tiražeerivad kaks usalduskasutajat samasse andmekogusse, põhjustades nimekonflikti. Usalduskasutaja objektile määratakse konflikt (CNF)-mangled DN; näiteks:
CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com
Ka samAccountName kuvatakse moonutatuna:
$DUPLICATE-3159f
Ilma nimekonfliktita objekt kuvatakse normaalselt ja toimib õigesti. Usaldust on võimalik eemaldada ja uuesti luua.
-
2. stsenaarium: usalda kasutajat, kes on orb
Sarnaselt 1. stsenaariumiga võib olla vaja usalduskasutajat redigeerida või kustutada, kui usaldus- ja usalduspartnerit enam pole, kuid usalduskasutaja on endiselt Active Directory andmebaasis. Tavaliselt on nende kontode parool vana, mistõttu turbekontrolli tööriistad on selle konto lipuga märkinud.
Tõrketeated, kui administraator proovib redigeerida usaldusatribuute
Võtmeatribuute ei saa muuta ega orbususalduskasutaja objekti kustutada. Pärast objekti kaitsvate atribuutide muutmise katset kuvatakse järgmine tõrge:
Error dialog box |
Tõrketeade |
Toiming nurjus. Tõrkekood: 0x209a Juurdepääs atribuudile pole lubatud, kuna atribuut kuulub turbekontode haldurile (SAM).0000209A: SvcErr: DSID-031A1021, probleem 5003 (WILL_NOT_PERFORM), andmed 0 |
Kui administraator proovib objekti eemaldada, nurjub see tõrkega 0x5, mis on samaväärne tekstiga "Juurdepääs keelatud". Konfliktset usaldusobjekti ei pruugita kuvada Active Directory lisandmoodulis Domeenid ja usaldused.
Error dialog box |
Tõrketeade |
Toiming nurjus. Tõrkekood: 0x5 Juurdepääs on keelatud.00000005:SecErr:DSID-031A11ED,probleem 4003 (INSUFF_ACCESS_RIGHTS), andmed 0. |
Põhjus
See probleem ilmneb seetõttu, et usaldusobjektid kuuluvad süsteemile ja neid saavad muuta või kustutada ainult Active Directory domeenide ja usalduste MMC kasutavad administraatorid. See funktsioon on kujundatud.
Lahendus
Pärast 14. mai 2024 Windowsi värskenduste installimist domeenikontrolleritesse, kus töötab Windows Server 2019 või uuem Windows Serveri versioon, on nüüd võimalik orbususkontod kustutada toiminguga schemaUpgradeInProgress. Selleks tehke järgmist.
-
Tuvastage domeenis orbus kasutajakonto. Näiteks see LDP.exe väljund; kuvab usaldusväärset kasutajat tuvastava 0x800 lipu userAccountControl:
Laiendatav alus ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
1 kirje toomine: Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com …primaryGroupID: 513 = ( GROUP_RID_USERS );
pwdLastSet: 27.04.2013 10:03:05 Koordineeritud maailmaaeg; sAMAccountName: NORTHWINDSALES$; sAMAccountType: 805306370 = ( TRUST_ACCOUNT ); userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT ) ;… -
Vajadusel lisage domeeniadministraatori konto aegunud usalduskontode domeenist metsa juurdomeeni rühma "Skeemi administraatorid". (Kustutamiseks kasutataval kontol peab olema juhtskeemi juhtslaidi juhtimise õigus skeemi NC koopia juurkaustas JA peab olema võimalik orbkontot hoidvasse DC-sse sisse logida.)
-
Veenduge, et 14. mai 2024 või uuem Windows Update on installitud aegunud usalduskontode domeeni kirjutatavasse DC-sse.
-
Logige sellesse DC-sse sisse skeemiadministraatori kontoga. Kui lisasite 2. juhises konto rühma "Skeemiadministraatorid", kasutage seda kontot.
-
Valmistage LDIFDE-impordifail ette, et muuta schemaUpgradeInProgressi ja kustutada objekt. Näiteks saab järgmise teksti kleepida LDIFDE-impordifaili, et kustutada 1. juhises määratletud objekt:
Dn:
changetype: modify lisa: SchemaUpgradeInProgress SchemaUpgradeInProgress: 1 -dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
changetype: deleteVihjed LDIFDE süntaksi kohta:
-
Ainult sidekriipsuga (-) joon on elutähtis, kuna see lõpetab muutuste sarja muutusetüübi "modify" all.
-
Sidekriipsuga joonele järgnev tühi joon on samuti elutähtis, kuna see näitab LDIFDE-le, et kõik objekti muudatused viiakse lõpule ja muudatused tuleks kinnitada.
-
-
Importige LDIFDE-fail järgmise süntaksi abil:
ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j
Märkused.
-
Parameeter /i näitab imporditoimingut.
-
Parameeter /f, millele järgneb failinimi, näitab muudatusi sisaldavat faili.
-
Parameeter /j, millele järgneb logfile-tee, kirjutab ldif.log ja ldif.err-faili koos värskenduse tulemustega, kas protseduur toimis ja kui ei, siis mod-i ajal ilmnenud tõrge.
-
Perioodi (".") määramine parameetriga /j kirjutab logid praegusesse töökataloogi.
-
-
Vajaduse korral eemaldage eelnevalt 2. juhises lisatud domeeniadministraator jaotisest "Skeemiadministraatorid".