Prijavite se pomoću Microsoft naloga
Prijavite se ili kreirajte nalog.
Zdravo,
Izaberite drugi nalog.
Imate više naloga
Odaberite nalog pomoću kojeg želite da se prijavite.

Uvod

Objekti uskladišteni u usluzi Active Directory mogu da postanu zausebni, oštećeni ili zapušteni izazvani neusaglašenostima prilikom replikacije.

Ovaj članak se fokusira na pouzdane objekte koji se mogu identifikovati "INTERDOMAIN_TRUST_ACCOUNT" bitom u atributu userAccountControl . Detaljne informacije o ovom bitu potražite u članku userAccountControl Bits.

Simptome

Odnosi poverenja su predstavljeni u usluzi Active Directory na sledeći način:

  • Korisnički nalog povezan znakom $na početku.

  • Pouzdani objekat domena (TDO) uskladišten u sistemskom kontejneru particije direktorijuma domena.

Kreiranje dupliranih poverenja kreiraće dva objekta sa dupliranim imenima naloga menadžera bezbednosnih naloga (SAM). U drugom objektu, SAM razrešava neusaglašenost tako što preimenovanje objekta u $DUPLICATE-<Account RID>. Nije moguće izbrisati duplirani objekat i postati "nedodeljeni".

Napomena Za objekat aktivnog direktorijuma se kaže da je "nedodeljeno" kada predstavlja podređeni objekat uživo koji je uskladišten u usluzi Active Directory čiji nadređeni kontejner nedostaje. Termin se ponekad koristi i za upućivanje na zausebni ili oštećeni objekat u aktivnom direktorijumu koji nije moguće izbrisati pomoću normalnog toka posla.

Postoje dva primarna scenarija za zaostale pouzdanosti:

  • 1. slučaj: Pouzdani korisnik u statusu neusaglašenosti

    Pouzdani korisnik možda mora da se izbriše u scenarijima u kojima postoje dve šume, a prethodno je kreirano poverenje između domena u tim šumama. Kada je poverenje prvi put kreirano, pojavio se problem koji je sprečio replikaciju. Administrator je možda preneo ili konfiskuo primarni kontroler domena (PDC) Fleksibilnu ulogu jednostruke master operacije (FSMO) i ponovo je kreirao poverenje na drugom kontroleru domena (DC).

    Kasnije, kada se ponovo uspostavi replikacija aktivnog direktorijuma, dva pouzdana korisnika će se replicirati u isti DC, što dovodi do neusaglašenosti imenovanja. Objektu pouzdanog korisnika će biti dodeljen neusaglašenost (CNF) sa upravljanjem DN; na primer:

    CN=contoso$\0ACNF:a6e22a25-f60c-4f07-b629-64720c6d8b08,CN=Users,DC=northwindsales,DC=com

    SamAccountName će se takođe pojaviti zanemareno:

    $DUPLICATE-3159f

    Objekat bez neusaglašenosti imena izgledao bi normalno i ispravno funkcionisao. Moguće je ukloniti i ponovo kreirati poverenje.

  • 2. slučaj: Nedodeljeni korisnik smatra pouzdanim

    Slično kao u 1. scenariju, možda će biti potrebe da se uredi ili izbriše pouzdani korisnik ako pouzdani partner više ne postoje, ali je pouzdani korisnik i dalje u bazi podataka aktivnog direktorijuma. Lozinka za ove naloge će obično biti stara, zbog čega će taj nalog biti označen zastavicom pomoću alatki za skeniranje bezbednosti.

Poruke o grešci kada administrator pokuša da uredi atribute poverenja

Nije moguće promeniti atribute ključa ili izbrisati nedodeljeni objekat pouzdanog korisnika. Došlo je do sledeće greške nakon pokušaja promene atributa koji štite objekat:

Error dialog box

Poruka o grešci

Operacija nije uspela. Kôd greške 0x209a

Operacija nije uspela. Kôd greške: 0x209a
Pristup atributu nije dozvoljen zato što je atribut u vlasništvu Menadžera bezbednosnih naloga (SAM).

0000209A: SvcErr: DSID-031A1021, problem 5003 (WILL_NOT_PERFORM), podaci 0

Kada administrator pokuša da ukloni objekat, on ne uspeva uz grešku 0x5, što je jednako "Pristup je odbijen". Ili se neusaglašeni objekat pouzdanosti možda neće pojaviti u proširenju konzole "Domeni i poverenja" aktivnog direktorijuma.

Error dialog box

Poruka o grešci

Operacija nije uspela. Kôd greške 0x5

Operacija nije uspela. Kôd greške: 0x5
Pristup je odbijen.


00000005:SecErr:DSID-031A11ED,problem 4003 (INSUFF_ACCESS_RIGHTS), podaci 0.

Izazvati

Do ovog problema dolazi zato što su pouzdani objekti u vlasništvu sistema i mogu da ih izmene ili izbrišu samo administratori koji koriste MMC "Active Directory domeni i poverenja". Ova funkcionalnost je dizajnirana.

Rezoluciju

Nakon instalacije windows ispravki od 14. maja 2024. na upravljačima domena koji rade pod operativnim sistemom Windows Server 2019 ili novijom verzijom sistema Windows Server, sada je moguće izbrisati zapuštene naloge pouzdanosti pomoću operacije "ŠemaUpgradeInProgresss". Da biste to uradili, pratite ove korake:

  1. Identifikujte nedodeljeni korisnički nalog pouzdanog u domenu. Na primer, ovaj rezultat iz LDP.exe; prikazuje zastavicu "userAccountControl" 0x800 koja identifikuje pouzdanog korisnika:

    Razvijanje baze ' CN=northwindsales$,CN=Users,DC=contoso,DC=com'...
    Pribavljanje 1 stavki:
    Dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com

    primaryGroupID: 513 = ( GROUP_RID_USERS );
    pwdLastSet: 27/2013 10:03:05 Koordinisano univerzalno vreme;
    sAMAccountName: NORTHWINDSALES$;
    sAMAccountType: 805306370 = ( TRUST_ACCOUNT );
    userAccountControl: 0x820 = ( PASSWD_NOTREQD | INTERDOMAIN_TRUST_ACCOUNT )
    ;…

  2. Ako je neophodno, dodajte nalog administratora domena iz zastarelog domena naloga pouzdanosti u grupu "Administratori šeme" u osnovnom domenu šume. (Nalog koji se koristi za brisanje mora da ima pristup kontrole "Control-Schema-Master" direktno u korenu replike Šema NC I mora da bude u mogućnosti da se prijavi u DC koji sadrži nalog siročića.)

  3. Uverite se da su 14. maj 2024. ili novije verzije windows ispravki instalirane na domenu za pisanje koji je moguće upisati u domen zastarelih pouzdanih naloga.

  4. Prijavite se u taj DC pomoću administratorskog naloga šeme. Ako ste dodali nalog u grupu "Administratori šeme" u 2. koraku, koristite taj nalog.

  5. Pripremite LDIFDE datoteku za uvoz da biste izmenili schemaUpgradeInProgress i izbrisali objekat.

    Na primer, tekst ispod može da se nalepi u LDIFDE datoteku za uvoz radi brisanja objekta identifikovanog u 1. koraku:

    Dn:
    changetype: modify
    add: SchemaUpgradeInProgress
    SchemaUpgradeInProgress: 1
    -

    dn: CN=northwindsales$,CN=Users,DC=contoso,DC=com
    changetype: delete

    Saveti za LDIFDE sintaksu:

    • Linija koja sadrži samo crticu ("-") je vitalna jer obustavlja niz promena u okviru tipa promene "izmeni".

    • Prazan red iza linije sa crticom je takođe važan jer pokazuje funkciji LDIFDE da su sve izmene na objektu dovršene i da bi trebalo izvršiti promene.

  6. Uvezite LDIFDE datoteku pomoću sledeće sintakse:

    ldifde /i /f nameOfLDIFFileCreatedInStep5.txt /j

    Beleške

    • Parametar /i ukazuje na operaciju uvoza.

    • Parametar /f praćen imenom datoteke ukazuje na datoteku koja sadrži promene.

    • Parametar /j praćen putanjom datoteke za evidenciju napisaće datoteku ldif.log i datoteku ldif.err sa rezultatima ažuriranja, da li je procedura funkcionisala, a ako nije, greška do koje je došlo tokom mod-a.

    • Navođenje tačke (".") sa parametrom /j upisuje evidencije u trenutni radni direktorijum.

  7. Ako je potrebno, uklonite administratora domena koji je prethodno dodat u 2. koraku iz grupe "Administratori šeme".

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Otkrivanje Zajednica

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.

Pitajte Microsoft zajednicu

Microsoft Tech zajednica

Windows insajderi

Microsoft 365 insajderi

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?
Kada kliknete na dugme Prosledi“, vaše povratne informacije će se koristiti za poboljšanje Microsoft proizvoda i usluga. Vaš IT administrator će moći da prikupi ove podatke. Izjava o privatnosti.

Hvala vam na povratnim informacijama!

×