В данной статье описывается проблема, возникающая при разрешении идентификаторов безопасности на контроллерах домена Windows Server 2012 R2. Доступно исправление для решения этой проблемы. Это исправление имеет необходимых компонентов.
Симптомы
Эта проблема возникает при выполнении следующих условий:
-
Перенести объекта пользователя или группы в другой домен и перенести их обратно в исходный домен. Дополнительные сведения содержатся в разделе Подробное описание проблемы.
-
Средство PsGetSid используется для поиска идентификатора безопасности (SID) для контроллера домена Windows Server 2012 R2.
Кроме того при просмотре разрешений файла на компьютере, который подключается к контроллеру домена Windows Server 2012 R2 разрешения файла Показать идентификаторы SID вместо имена пользователей или групп.
Примечание. Если используется средство PsGetSid искомый ИД безопасности для контроллера домена Windows Server 2008 R2, SID успешно разрешены.
Причина
Эта проблема возникает, поскольку Windows Server 2012 R2 контроллеры домена не может разрешить SID из журнала SID.
Решение
Чтобы устранить эту проблему, установите исправление на контроллерах домена R2 Windows Server 2012.
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Чтобы применить это обновление, необходимо Обновить 2919355 установлен в Windows Server 2012 R2.
Сведения о реестре
Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
Может потребоваться перезагрузить компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Сведения о файлах для Windows Server 2012 R2 и заметки
Важно. Windows Server 2012 R2 исправления и исправления Windows 8.1 включаются в тех же самых пакетов. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows 8.1/Windows Server 2012 R2» на странице. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.3.960 0.17 xxx
Windows Server 2012 R2
RTM
GDR
-
Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах". MUM, MANIFEST и связанные файлы каталога безопасности (.cat) очень важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых версий Windows Server 2012 R2 для систем на базе x64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Lsadb.dll |
6.3.9600.17564 |
198,144 |
06-Jan-2015 |
05:23 |
x64 |
Сведения о дополнительных файлах
Сведения о дополнительных файлах для Windows Server 2012 R2
Дополнительные файлы для всех поддерживаемых версий Windows Server 2012 R2 для систем на базе x64
|
Свойства файла |
Значение |
|---|---|
|
Имя файла |
Amd64_e4945a4e0ffd3c6d2035f11f29d5fcee_31bf3856ad364e35_6.3.9600.17566_none_dfccd51a6738b404.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
715 |
|
Дата (UTC) |
08-Jan-2015 |
|
Время (UTC) |
07:46 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_microsoft-windows-d..ctoryservices-lsadb_31bf3856ad364e35_6.3.9600.17566_none_8e0c2c42b1f2e3b5.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
8,666 |
|
Дата (UTC) |
08-Jan-2015 |
|
Время (UTC) |
00:31 |
|
Платформа |
Неприменимо |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Подробное описание проблемыРассмотрим следующий сценарий:
-
В среде есть контроллеры домена Windows 2012 R2.
-
Переместить объект, такой как группа или пользователь, имеющий код SID объекта «X» из домена A в домен б. Таким образом объект получает новый код SID объекта «Y», а атрибут sIDHistory объект содержит объект «X» SID из домена а.
-
Перенести объект домен а. В этом случае объект получает новый код SID объекта «Z». Атрибут sIDHistory объекта содержит ИД безопасности из домена A объект «X» и «Y» объект SID из домена б.
-
У вас есть ресурсы, которые разрешено исходного объекта «X» SID объекта в домене A.
В этом случае код SID объекта объекта «X» не разрешается. Таким образом разрешения файла отображение SID.
Примечание. Доступ к ресурсам, допускаемой исходного объекта SID по-прежнему работает и не влияет на «X». Тем не менее невозможно прочитать и определить разрешения ресурсов, так как идентификаторы SID не разрешаются в имена объектов.
