Поиск и очистка повторяющихся идентификаторов безопасности с помощью Ntdsutil

  • Статья

В этой статье описывается, как использовать Ntdsutil для поиска и очистки повторяющихся идентификаторов безопасности.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 816099

Сводка

В этой статье описывается, как проверка для и очистить или удалить повторяющиеся идентификаторы безопасности (SID) в базе данных SAM. Каждая учетная запись безопасности, например пользователь, группа или компьютер, имеет уникальный идентификатор безопасности. Разрешения на доступ предоставляются или запрещаются идентификаторам безопасности для ресурсов, таких как файлы, папки, принтеры, почтовые ящики Microsoft Exchange, базы данных Microsoft SQL Server, объекты, хранящиеся в Active Directory, и любые данные, защищенные моделью безопасности Windows Server.

Идентификатор безопасности содержит сведения о заголовке и набор относительных идентификаторов, которые идентифицируют домен и учетную запись безопасности. В домене каждый контроллер домена может создавать учетные записи и выдавать уникальный идентификатор безопасности для каждой учетной записи. Каждый контроллер домена поддерживает пул относительных идентификаторов, используемых для создания идентификаторов БЕЗОПАСНОСТИ. После использования 80 процентов относительного пула идентификаторов контроллер домена запрашивает новый пул относительных идентификаторов из операций с относительными идентификаторами master. Убедитесь, что один пул относительных идентификаторов никогда не выделяется для разных контроллеров домена и предотвращает выделение повторяющихся идентификаторов БЕЗОПАСНОСТИ. Тем не менее, поскольку возможно (но редко) выделение повторяющегося пула относительных идентификаторов, необходимо определить учетные записи, которым были выданы повторяющиеся идентификаторы БЕЗОПАСНОСТИ, чтобы предотвратить применение неправильной безопасности.

Повторяющиеся относительные пулы идентификаторов могут возникать, если администратор захватывает роль master относительных идентификаторов (RID master), в то время как исходный master RID работает, но временно отключен от сети. Как правило, роль RID master принимает только один контроллер домена после одного цикла репликации. Однако до разрешения владения ролью два разных контроллера домена могут запрашивать новый относительный пул идентификаторов и выделять один и тот же относительный пул идентификаторов.

Запуск Ntdsutil

Чтобы запустить Ntdsutil, выполните следующие действия.

  1. Щелкните последовательно Пуск>Выполнить.
  2. В поле Открыть введите ntdsutil и нажмите клавишу ВВОД. Чтобы получить доступ к справке в любое время, введите ? в командной строке и нажмите клавишу ВВОД.

Поиск повторяющегося идентификатора безопасности

Чтобы найти повторяющийся идентификатор безопасности, выполните следующие действия.

  1. В командной строке Ntdsutil введите управление учетными записями безопасности и нажмите клавишу ВВОД.

  2. Чтобы подключиться к серверу, на котором хранится база данных службы обслуживания учетных записей безопасности (SAM), введите connect to serverDNSNameOfServer в командной строке SAM и нажмите клавишу ВВОД.

  3. В командной строке SAM введите проверка повторяющийся идентификатор sid, а затем нажмите клавишу ВВОД.

    Примечание.

    Появится отображение дубликатов.

Очистка повторяющегося идентификатора безопасности

  1. В командной строке Ntdsutil введите управление учетными записями безопасности и нажмите клавишу ВВОД.

  2. Подключитесь к серверу, на котором хранится база данных обслуживания учетных записей безопасности (SAM). В командной строке SAM введите "connect to serverDNSNameOfServer" и нажмите клавишу ВВОД.

  3. В командной строке SAM введите cleanup duplicate sid и нажмите клавишу ВВОД.

    Примечание.

    Ntdsutil подтверждает удаление дубликата.

  4. В командной строке SAM введите q и нажмите клавишу ВВОД.

  5. Завершив работу с Ntdsutil, введите q и нажмите клавишу ВВОД.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.