ActiveDirectory 机器帐户:机器重建后 SID 相同吗?

ActiveDirectory 机器帐户:机器重建后 SID 相同吗?

当新的 Windows 服务器计算机加入域时,AD 似乎会为该计算机创建一个具有 SID 的计算机帐户“DOMAIN\MACHINENAME$”。

如果机器重新映像(使用另一个操作系统,这里是:W2K8 而不是 W2K3)然后重新加入域,AD 是否会重新使用具有相同 SID 的现有域帐户?

(我询问的原因是我们在 SQL2008 数据库中使用一些机器账户作为登录名。)

谢谢 Max

答案1

马克斯:是的。现有的帐户和 SID 将被重新使用。

只要您不从 AD 中删除计算机帐户,就没问题。当您断开旧计算机的连接时,该帐户将被禁用。当您使用目录中现有计算机对象的名称将新计算机(或旧计算机上的新操作系统)加入域时,将使用旧计算机对象的 SID。您在 SQL Server 中的计算机登录将继续正常工作。

更新完全对于奥列格来说:您错误地将成员计算机注册表中本地分配的“机器 SID”与 DC 分配给 Active Directory 中的计算机对象的 SID 混淆了。

是的——当您使用与目录中现有计算机对象同名的计算机加入域时,将重置 Active Directory 中计算机帐户的密码。但是,加入域不会更改分配给该现有计算机对象的 SID。AD 计算机对象的 SID 是发帖者所说的 SQL Server 登录中引用的 SID,而不是域成员计算机的本地计算机 SID。

域成员计算机的本地机器 SID 在 AD 环境中毫无意义。

我建议你读一下这篇博文来自 Mark Russinovich,"NewSID" 工具的创建者,以便更好地了解为什么你关于 SID 重新生成的长篇大论在点对点环境中是错误的。

答案2

我总是嘲笑那些认为 newsid(从未使用过)在为他们做些什么的人!

在这种情况下,服务器将以 domain\servername$ 的形式呈现给 sql 服务器,因此只要它是功能域成员登录就可以了。

无法正常运行的将是未运行 sysprep 就被克隆的域加入服务器。

相关内容