|
|
概要
本文介绍如何在 SAM 数据库中查找和清理(或删除)重复的安全标识符 (SID)。每个安全账户(如用户、组和计算机)由唯一的 SID 进行标识。您使用 SID 来唯一标识一个安全账户,并对资源(如文件、文件目录、打印机、Microsoft Exchange 邮箱、Microsoft SQL Server 数据库、Active Directory 中存储的对象或由 Windows 2000 安全模型保护的任何数据)执行访问检查。
SID 中包含标题信息和一组相对标识号,后者用于标识域账户和安全帐户。在域中,每个域控制器都可以创建账户,并为每个账户指定一个唯一的 SID。每个域控制器都维护着一个用于创建 SID 的相对 ID 池。当使用了相对 ID 池中 80% 的 ID 后,域控制器将从相对 ID 操作主机那里请求一个新的相对标识号池。这可以确保同一池中的相对 ID 不会分配给不同的域控制器,并防止分配重复的 SID。但是,由于可能(但很少发生)分配重复的相对 ID 池,因此需要标识那些已经分配了重复 SID 的账户,从而防止应用不正确的安全设置。
如果管理员取得了相对 ID 主机角色,同时原始相对 ID 主机虽可操作但已暂时断开与网络的连接,则可能出现重复的相对 ID 池。典型的情况是,当一个复制周期结束后,将仅由一个域控制器来继续充当相对 ID 主机角色。但是,在解决角色所有权之前,两个不同的域控制器可能会各自请求一个新的相对 ID 池,并被分配同一相对 ID 池。
如何启动 Ntdsutil
注意,Ntdsutil.exe 位于 Windows 2000 CD-ROM 上的“Support Tools”文件夹中。
1. 单击开始,然后单击运行。
2. 在打开框中,键入 ntdsutil。将打开命令窗口。您可以在任何时候在命令提示符下键入 ? 来访问帮助。
如何检查是否有重复的 SID
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。
2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。
3. 在 Security Account Maintenance 命令提示符下,键入 check duplicate sid,然后按 ENTER 键。将显示重复的 SID。
如何清理重复的 SID
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。
2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。
3. 在 Security Account Maintenance 命令提示符下,键入 cleanup duplicate sid,然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。
4. 在 Security Account Maintenance 命令提示符下,键入 q,然后按 ENTER 键。
5. 完成 Ntdsutil 下的操作后,键入 q,然后按 ENTER 键。
参考
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
243267 (http://support.microsoft.com/kb/243267/EN-US/) How to Automate Ntdsutil.exe Using a Script
这篇文章中的信息适用于:
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
关键字: kbhowtomaster KB315062
URL:
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;q315062&sd=tech
本文介绍如何在 SAM 数据库中查找和清理(或删除)重复的安全标识符 (SID)。每个安全账户(如用户、组和计算机)由唯一的 SID 进行标识。您使用 SID 来唯一标识一个安全账户,并对资源(如文件、文件目录、打印机、Microsoft Exchange 邮箱、Microsoft SQL Server 数据库、Active Directory 中存储的对象或由 Windows 2000 安全模型保护的任何数据)执行访问检查。
SID 中包含标题信息和一组相对标识号,后者用于标识域账户和安全帐户。在域中,每个域控制器都可以创建账户,并为每个账户指定一个唯一的 SID。每个域控制器都维护着一个用于创建 SID 的相对 ID 池。当使用了相对 ID 池中 80% 的 ID 后,域控制器将从相对 ID 操作主机那里请求一个新的相对标识号池。这可以确保同一池中的相对 ID 不会分配给不同的域控制器,并防止分配重复的 SID。但是,由于可能(但很少发生)分配重复的相对 ID 池,因此需要标识那些已经分配了重复 SID 的账户,从而防止应用不正确的安全设置。
如果管理员取得了相对 ID 主机角色,同时原始相对 ID 主机虽可操作但已暂时断开与网络的连接,则可能出现重复的相对 ID 池。典型的情况是,当一个复制周期结束后,将仅由一个域控制器来继续充当相对 ID 主机角色。但是,在解决角色所有权之前,两个不同的域控制器可能会各自请求一个新的相对 ID 池,并被分配同一相对 ID 池。
如何启动 Ntdsutil
注意,Ntdsutil.exe 位于 Windows 2000 CD-ROM 上的“Support Tools”文件夹中。
1. 单击开始,然后单击运行。
2. 在打开框中,键入 ntdsutil。将打开命令窗口。您可以在任何时候在命令提示符下键入 ? 来访问帮助。
如何检查是否有重复的 SID
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。
2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。
3. 在 Security Account Maintenance 命令提示符下,键入 check duplicate sid,然后按 ENTER 键。将显示重复的 SID。
如何清理重复的 SID
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。
2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。
3. 在 Security Account Maintenance 命令提示符下,键入 cleanup duplicate sid,然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。
4. 在 Security Account Maintenance 命令提示符下,键入 q,然后按 ENTER 键。
5. 完成 Ntdsutil 下的操作后,键入 q,然后按 ENTER 键。
参考
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
243267 (http://support.microsoft.com/kb/243267/EN-US/) How to Automate Ntdsutil.exe Using a Script
这篇文章中的信息适用于:
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
关键字: kbhowtomaster KB315062
URL:
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;q315062&sd=tech
添加到百度搜藏
