Logg på med Microsoft
Logg på, eller opprett en konto.
Hei,
Velg en annen konto.
Du har flere kontoer
Velg kontoen du vil logge på med.

Innledning

Objekter som er lagret i Active Directory, kan bli foreldet, skadet eller frittstående forårsaket av replikeringskonflikter.

Denne artikkelen fokuserer på klareringsobjekter som kan identifiseres av «INTERDOMAIN_TRUST_ACCOUNT»-biten i userAccountControl-attributtet . Hvis du vil ha detaljert informasjon om denne biten, kan du se userAccountControl-biter.

Symptomer

Klareringsrelasjoner representeres i Active Directory av følgende:

  • En brukerkonto som er festet med et etterfølgende $-tegn.

  • Et klarert domeneobjekt (TDO) lagret i systembeholderen for domenekatalogpartisjonen.

Oppretting av dupliserte klareringer oppretter to objekter som har dupliserte kontonavn for Security Account Manager (SAM). I det andre objektet løser SAM konflikten ved å gi objektet nytt navn til $DUPLICATE-<Account RID>. Det dupliserte objektet kan ikke slettes og blir frittstående.

Obs!   Et Active Directory-objekt sies å være frittstående når det representerer et underordnet objekt som er lagret i Active Directory, der overordnet beholder mangler. Termen brukes også noen ganger til å referere til et foreldet eller skadet objekt i Active Directory som ikke kan slettes ved hjelp av normal arbeidsflyt.

Det finnes to primære foreldede klareringsscenarioer:

  • Scenario 1: Klarer bruker i konfliktstatus

    En klareringsbruker må kanskje slettes i scenarioer der det er to skoger, og en klarering ble tidligere opprettet mellom domener i disse skogene. Da klareringen først ble opprettet, oppstod det et problem som forhindret replikering. En administrator kan ha overført eller beslaglagt rollen som primær domenekontroller (PDC) Flexible Single Master Operation (FSMO) og opprettet klareringen på nytt på en annen domenekontroller (DC).

    Senere, når Active Directory-replikering gjenopprettes på nytt, replikeres de to klareringsbrukerne til samme DC, noe som forårsaker en navngivningskonflikt. Klareringsbrukerobjektet vil bli tilordnet en konflikt (CNF)-mangled DN. for eksempel:

    CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com

    SamAccountName vises også mangled:

    $DUPLICATE-3159f

    Objektet uten navnekonflikten ser normalt ut og fungerer som det skal. Det er mulig å fjerne og gjenopprette klareringen.

  • Scenario 2: Klareringsbruker frittstående

    På samme måte som i scenario 1 kan det være behov for å redigere eller slette en klareringsbruker hvis klarerings- og klareringspartneren ikke finnes lenger, men klareringsbrukeren fremdeles er i Active Directory-databasen. Vanligvis vil passordet for disse kontoene være gammelt, noe som fører til at kontoen flagges av verktøy for sikkerhetsskanning.

Feilmeldinger når en administrator prøver å redigere attributtene til en klarering

Det er ikke mulig å endre nøkkelattributter eller slette det frittstående klareringsbrukerobjektet. Følgende feil er angitt etter forsøk på å endre attributter som beskytter objektet:

Dialogboksen Feil

Feilmelding

Operasjonen mislyktes. Feilkode 0x209a

Operasjonen mislyktes. Feilkode: 0x209a
Tilgang til attributtet er ikke tillatt fordi attributtet eies av Security Accounts Manager (SAM).

0000209A: SvcErr: DSID-031A1021, problem 5003 (WILL_NOT_PERFORM), data 0

Når en administrator prøver å fjerne objektet, mislykkes det med feil 0x5, som tilsvarer «Ingen tilgang». Eller det motstridende klareringsobjektet vises kanskje ikke i snapin-modulen «Domener og klareringer» i Active Directory.

Dialogboksen Feil

Feilmelding

Operasjonen mislyktes. Feilkode 0x5

Operasjonen mislyktes. Feilkode: 0x5
Ingen tilgang.


00000005:SecErr:DSID-031A11ED,problem 4003 (INSUFF_ACCESS_RIGHTS), data 0.

Årsak

Dette problemet oppstår fordi klareringsobjekter eies av systemet og kan bare endres eller slettes av administratorer som bruker Active Directory Domains and Trusts MMC. Denne funksjonaliteten er etter utforming.

Løsning

Når du har installert Windows-oppdateringene for 14. mai 2024 på domenekontrollere som kjører Windows Server 2019 eller en senere versjon av Windows Server, er det nå mulig å slette frittstående klareringskontoer ved hjelp av operasjonen schemaUpgradeInProgress. For å gjøre dette, følger du disse trinnene:

  1. Identifiser en frittstående klareringsbrukerkonto i domenet. Dette utdataene fra LDP.exe; viser et userAccountControl-flagg for 0x800 som identifiserer klareringsbrukeren:

    Utvider grunntallet CN=northwindsales$,CN=Brukere,DC=contoso,DC=com'...
    Henter 1 oppføringer:
    Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com

    primaryGroupID: 513 = ( GROUP_RID_USERS );
    pwdLastSet: 27.04.2013 kl. 22:03:05 Coordinated Universal Time;
    sAMAccountName: NORTHWINDSALES$;
    sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
    userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
    ;…

  2. Hvis det er nødvendig, kan du legge til en domeneadministratorkonto fra domenet for foreldede klareringskontoer i gruppen Skjemaadministratorer i skogrotdomenet. (Kontoen som brukes til slettingen, må ha kontrollskjemareplikaen rett ved roten av XML-replikaen SCHEMA OG må kunne logge på DC med den frittstående kontoen.)

  3. Kontroller at Windows Updates 14. mai 2024 eller nyere er installert på en skrivbar DC i domenet for foreldede klareringskontoer.

  4. Logg på dc-en med en skjemaadministratorkonto. Hvis du har lagt til en konto i gruppen Skjemaadministratorer i trinn 2, bruker du denne kontoen.

  5. Klargjør en LDIFDE-importfil for å endre SchemaUpgradeInProgress og slette objektet.

    Teksten nedenfor kan for eksempel limes inn i en LDIFDE-importfil for å slette objektet som er identifisert i trinn 1:

    Dn:
    endringstype: endre
    legg til: SchemaUpgradeInProgress
    SchemaUpgradeInProgress: 1
    -

    dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
    endringstype: slett

    Tips om LDIFDE-syntaks:

    • Linjen med bare en bindestreker ("-") er viktig, da den avslutter serien med endringer under endringstypen "endre".

    • Den tomme linjen etter linjen med bindestreken er også viktig, da den viser LDIFDE at alle endringer på objektet er fullført og endringer skal utføres.

  6. Importer LDIFDE-filen ved hjelp av følgende syntaks:

    ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j

    Merknader

    • /i-parameteren angir en importoperasjon.

    • /f-parameteren etterfulgt av et filnavn angir filen som inneholder endringene.

    • /j-parameteren etterfulgt av en logfilbane skriver en ldif.log og en ldif.err-fil med resultatene av oppdateringen, om prosedyren fungerte, og om ikke feilen som oppstod under mod.

    • Angi et punktum (".") med /j-parameteren skriver loggene i gjeldende arbeidskatalog.

  7. Fjern om nødvendig domeneadministratoren som tidligere ble lagt til i trinn 2, fra gruppen Skjemaadministratorer.

Facebook LinkedIn E-post
ABONNER PÅ RSS-FEEDER

Trenger du mer hjelp?

Vil du ha flere alternativer?

Oppdag Community

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Abonnementsfordeler for Microsoft 365

Microsoft 365-opplæring

Microsoft Sikkerhet

Tilgjengelighetssenter

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.

Spør Microsoft-fellesskapet

Teknisk fellesskap for Microsoft

Windows Insider-medlemmer

Microsoft 365 Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?
Når du trykker på Send inn, blir tilbakemeldingen brukt til å forbedre Microsoft-produkter og -tjenester. IT-administratoren kan samle inn disse dataene. Personvernerklæring.

Takk for tilbakemeldingen!

×