在研究我的问题时这个问题,我发现域中名为“Administrator”帐户的 SID 是:
S-1-5-21-2025429265-492894223-1708537768-1124
这肯定是错的,因为真正的管理员 SID 以 500 结尾。使用相同的域密钥并查找 SID,S-1-5-21-2025429265-492894223-1708537768-500
但一无所获 — 内置管理员帐户不存在。
我不知道这是什么时候、怎么发生的,我仍在寻找,但我很确定这种情况已经持续了很长时间,我甚至没有可以恢复的备份来解决这个问题。
有人知道如何纠正这个问题吗?
由于我谈论的帐户显然不清楚,我指的是此知识库文章中“原因”标题下第二点中提到的帐户:
http://support.microsoft.com/kb/248079
管理员帐户的知名安全标识符,即 SID(帐户名可以重命名)
答案1
嗯...这显然是“不应该发生”的情况。RID 500 管理员帐户带有“isCriticalSystemObject”属性设置为 true,据我所知,如果您尝试删除它,LSASS 应该会返回 ERROR_DS_UNWILLING_TO_PERFORM 错误 (0x80072035)。(我现在没有任何虚拟机中放置临时 AD 来尝试。也许以后...)
无论如何,您是如何搜索 AD 的?
从 AD 用户和计算机中,在域的根目录下执行“查找”,在“查找”下拉列表中选择“自定义搜索”,转到“高级”选项卡,然后输入 LDAP 搜索过滤器“(objectSid=S-1-5-21-2025429265-492894223-1708537768-500)”。这将为您提供从目录根目录对域的子树搜索。
如果您确实以某种方式删除了 RID 500 管理员帐户,我强烈建议您联系 Microsoft 产品支持服务。他们可能已经编写了一些代码来重新创建帐户(如果他们还没有这样的工具)。我无法想象您是如何成功删除它的,因为我能想到的唯一方法是通过 ESE 与数据库直接交互。我真的不认为有任何公开的 API 可以让您删除标记为“isCriticalSystemObject”设置为 True 的对象,而且我也不认为您可以在 RID 500 管理员上将其设置为 False。嗯...
你的情况很有趣。让我们知道上面的子树搜索返回了什么。
答案2
这看起来像一个用户 SID;唯一以 -500 结尾的 SID 是专门命名为 Administrator 的内置帐户。(默认情况下 - 可以通过组策略重命名。)
您对“我的管理员帐户”这个短语有点不清楚——如果您指的是您的个人域管理员帐户,那么您看到的是正确的。如果您指的是名为管理员的帐户,那么我会开始检查组策略找出内置管理员帐户发生了什么——也许有人重命名了它,然后创建了另一个名为管理员的帐户?
答案3
内置帐户用于什么以及在哪里?据我所知,域管理员帐户不是“内置”的,因为它是一个域帐户 - 域控制器上的内置本地管理员仅在目录服务还原模式下可用,或者当您将其降级回成员服务器时才可用。至少这是我的猜测,但可能是错误的 ^^
无论如何,如果它消失了,它确实应该存在一个域中的 sid 500 管理员(打败我了,我猜其他人知道;)如果它已被删除,您是否检查过已删除的对象?
答案4
什么版本的 Windows?Vista/2008 及更高版本默认禁用内置管理员帐户。从您的描述来看,我也不确定您是在查看 AD(域)还是 SAM(非域)。对于任何加入域的 2008 计算机,您都不会在 AD 中找到该 SID。