管理员帐户的 SID 错误

嗯...这显然是“不应该发生”的情况。RID 500 管理员帐户带有“isCriticalSystemObject”属性设置为 true，据我所知，如果您尝试删除它，LSASS 应该会返回 ERROR_DS_UNWILLING_TO_PERFORM 错误 (0x80072035)。（我现在没有任何虚拟机中放置临时 AD 来尝试。也许以后...）

无论如何，您是如何搜索 AD 的？

从 AD 用户和计算机中，在域的根目录下执行“查找”，在“查找”下拉列表中选择“自定义搜索”，转到“高级”选项卡，然后输入 LDAP 搜索过滤器“(objectSid=S-1-5-21-2025429265-492894223-1708537768-500)”。这将为您提供从目录根目录对域的子树搜索。

如果您确实以某种方式删除了 RID 500 管理员帐户，我强烈建议您联系 Microsoft 产品支持服务。他们可能已经编写了一些代码来重新创建帐户（如果他们还没有这样的工具）。我无法想象您是如何成功删除它的，因为我能想到的唯一方法是通过 ESE 与数据库直接交互。我真的不认为有任何公开的 API 可以让您删除标记为“isCriticalSystemObject”设置为 True 的对象，而且我也不认为您可以在 RID 500 管理员上将其设置为 False。嗯...

你的情况很有趣。让我们知道上面的子树搜索返回了什么。

这看起来像一个用户 SID；唯一以 -500 结尾的 SID 是专门命名为 Administrator 的内置帐户。（默认情况下 - 可以通过组策略重命名。）

您对“我的管理员帐户”这个短语有点不清楚——如果您指的是您的个人域管理员帐户，那么您看到的是正确的。如果您指的是名为管理员的帐户，那么我会开始检查组策略找出内置管理员帐户发生了什么——也许有人重命名了它，然后创建了另一个名为管理员的帐户？

内置帐户用于什么以及在哪里？据我所知，域管理员帐户不是“内置”的，因为它是一个域帐户 - 域控制器上的内置本地管理员仅在目录服务还原模式下可用，或者当您将其降级回成员服务器时才可用。至少这是我的猜测，但可能是错误的 ^^

无论如何，如果它消失了，它确实应该存在一个域中的 sid 500 管理员（打败我了，我猜其他人知道;）如果它已被删除，您是否检查过已删除的对象？

什么版本的 Windows？Vista/2008 及更高版本默认禁用内置管理员帐户。从您的描述来看，我也不确定您是在查看 AD（域）还是 SAM（非域）。对于任何加入域的 2008 计算机，您都不会在 AD 中找到该 SID。