Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Uvod

Objekti pohranjeni u servisu Active Directory mogu postati zastarjeli, oštećeni ili napušteni zbog sukoba replikacije.

Ovaj se članak fokusira na objekte pouzdane koji se mogu prepoznati pomoću bitova "INTERDOMAIN_TRUST_ACCOUNT" u atributu userAccountControl . Detaljne informacije o ovom bitu potražite u članku userAccountControl Bits.

Simptomi

Pouzdani odnosi predstavljeni su u servisu Active Directory na sljedeći način:

  • Korisnički račun na koji je naisla oznaka $.

  • Pouzdani objekt domene (TDO) pohranjen u spremniku sustava particije direktorija domene.

Stvaranje dupliciranih pouzdanih objekata stvorit će dva objekta s dupliciranim nazivima računa upravitelja sigurnosnih računa (SAM). Na drugom objektu SAM rješava sukob preimenovanjem objekta u $DUPLICATE-<rid>. Duplicirani objekt ne može se izbrisati i postaje "napušten".

Napomena Za objekt servisa Active Directory kaže se da je "napušten" kada predstavlja aktivni podređeni objekt pohranjen u servisu Active Directory čiji nadređeni spremnik nedostaje. Termin se ponekad koristi i za pozivanje na zastarjeli ili oštećeni objekt u servisu Active Directory koji se ne može izbrisati pomoću uobičajenog tijeka rada.

Postoje dva primarna zastarjela scenarija pouzdanosti:

  • 1. scenarij: pouzdanje korisnika u statusu sukoba

    Pouzdani korisnik možda će se morati izbrisati u scenarijima u kojima postoje dvije šume, a pouzdanost je prethodno stvorena između domena u tim šumama. Kada je pouzdano prvi put stvoreno, pojavio se problem koji je spriječio replikaciju. Administrator je možda prenio ulogu primarnog kontrolora domene (PDC) Flexible Single Master Operation (FSMO) ili ga ponovno stvorio na drugom domenskom kontroleru (DC).

    Kada se replikacija servisa Active Directory ponovno uspostavi, dva će se pouzdana korisnika replicirati u isti DC, što uzrokuje sukob s imenovanjem. Pouzdanom korisničkom objektu dodijelit će se sukob (CNF)-mangled DN; npr:

    CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com

    I samAccountName prikazat će se kao kut:

    $DUPLICATE-3159f

    Objekt bez sukoba naziva izgledat će normalno i pravilno funkcionirati. Moguće je ukloniti i ponovno stvoriti pouzdanost.

  • 2. scenarij: napušteni korisnik smatraj pouzdanim

    Slično kao u 1. scenariju, možda ćete morati urediti ili izbrisati pouzdanog korisnika ako više ne postoji pouzdani partner i pouzdani partner, ali se pouzdani korisnik i dalje nalazi u bazi podataka servisa Active Directory. Lozinka za te račune obično će biti stara, zbog čega će taj račun biti označen sigurnosnim alatima za pregled.

Poruke o pogreškama kada administrator pokuša urediti atribute pouzdanosti

Nije moguće promijeniti atribute ključa ni izbrisati napušteni pouzdani korisnički objekt. Nakon pokušaja promjene atributa koji štite objekt navedena je sljedeća pogreška:

Dijaloški okvir Pogreška

Poruka o pogrešci

Operacija nije uspjela. Kod pogreške 0x209a

Operacija nije uspjela. Kod pogreške: 0x209a
Pristup atributu nije dopušten jer je atribut u vlasništvu upravitelja sigurnosnih računa (SAM).

0000209A: SvcErr: DSID-031A1021, problem 5003 (WILL_NOT_PERFORM), podaci 0

Kada administrator pokuša ukloniti objekt, ne uspijeva uz pogrešku 0x5, što je ekvivalent "Pristup je odbijen". Ili se pouzdani objekt u sukobu možda neće pojaviti u alatu Active Directory "Domains and Trusts".

Dijaloški okvir Pogreška

Poruka o pogrešci

Operacija nije uspjela. Kod pogreške 0x5

Operacija nije uspjela. Kod pogreške: 0x5
Pristup je odbijen.


00000005:SecErr:DSID-031A11ED,problem 4003 (INSUFF_ACCESS_RIGHTS), podaci 0.

Uzrok

Taj se problem pojavljuje jer su pouzdani objekti u vlasništvu sustava i mogu ih mijenjati ili brisati samo administratori koji koriste MMC domene servisa Active Directory i trusts. Ta je funkcija dizajnirana.

Rješenje

Nakon instalacije ažuriranja sustava Windows od 14. svibnja 2024. na domenske kontrolere sa sustavom Windows Server 2019 ili novijom verzijom sustava Windows Server sada je moguće izbrisati napuštene pouzdane račune pomoću operacije schemaUpgradeInProgress. Da biste to učinili, učinite sljedeće:

  1. Pronađite napušteni pouzdani korisnički račun na domeni. Na primjer, ovaj izlaz iz LDP.exe; prikazuje zastavicu userAccountControl0x800 koja identificira pouzdanog korisnika:

    Proširivanje baze ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
    Dohvaćanje 1 unosa:
    Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com

    primaryGroupID: 513 = ( GROUP_RID_USERS );
    pwdLastSet: 27/4/2013 10:03:05 Koordinirano univerzalno vrijeme;
    sAMAccountName: NORTHWINDSALES$;
    sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
    userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT, ne znam.
    ;…

  2. Ako je potrebno, dodajte račun administratora domene s zastarjele domene pouzdanih računa u grupu "Administratori sheme" u korijenskoj domeni šume. (Račun koji se koristi za brisanje mora imati pristup kontroli "Control-Schema-Master" na korijenu replike sheme AND mora se moći prijaviti u DC koji drži napušteni račun.)

  3. Provjerite jesu li ažuriranja sustava Windows od 14. svibnja 2024. ili novija instalirana na zapisivom DC-u u zastarjeloj domeni pouzdanih računa.

  4. Prijava u dc pomoću administratorskog računa sheme. Ako ste u 2. koraku dodali račun u grupu "Administratori sheme", upotrijebite taj račun.

  5. Pripremite datoteku za uvoz LDIFDE da biste izmijenili SchemaUpgradeInProgress i izbrisali objekt.

    Tekst u nastavku, primjerice, može se zalijepiti u datoteku za uvoz LDIFDE radi brisanja objekta koji je prepoznat u 1. koraku:

    Dn:
    changetype: modify
    dodaj: SchemaUpgradeInProgress
    SchemaUpgradeInProgress: 1
    -

    dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
    changetype: delete

    Savjeti za sintaksu LDIFDE:

    • Crta sa samo crticom ("-") ključna je jer završava niz promjena pod promjenom vrste "izmjena".

    • Prazan redak iza retka s crticom također je ključan jer pokazuje LDIFDE da su sve izmjene na objektu dovršene i da bi se promjene trebale izvršiti.

  6. Uvezite LDIFDE datoteku pomoću sljedeće sintakse:

    ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j

    Napomene

    • Parametar /i označava operaciju uvoza.

    • Parametar /f nakon kojeg slijedi naziv datoteke označava datoteku koja sadrži promjene.

    • Parametar /j nakon kojeg slijedi put datoteke logfile napišite datoteku ldif.log i ldif.err s rezultatima ažuriranja, je li postupak funkcionirao, a ako nije, pogrešku koja se dogodila tijekom moda.

    • Određivanje točke (".") s parametrom /j zapisit će zapisnike u trenutni radni direktorij.

  7. Ako je potrebno, uklonite administratora domene koji je prethodno dodan u drugi korak iz grupe "Administratori sheme".

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×