我正在对 LDAP 数据库进行一些完整性检查,为 LDAP 服务器的版本升级做准备,我发现很少有用户共享相同的sambaSID属性。我想知道我是否应该担心这个问题?如果是,解决问题的最简单方法是什么?
答案1
这是您应该关注的问题。在纯 Microsoft 网络中,重复的 SID 绝不应该发生,因为这是 AD 用来确定哪些对象是哪些对象的主键。由于此属性由以 PDC 模式运行的 Samba 使用,同时使用 LDAP 作为后端,因此尝试将 SID 转换为对象名称的 Windows 服务器将获得这些对象的不一致结果。
修复它需要四个步骤。
- 确定使用 SID 的所有地方
- 确定哪些区域需要分配给哪个用户
- 将其中一个 SID 更改为另一个唯一值
- 重新授权步骤 2 中确定的区域,以便重新授权的帐户可以访问这些位置
第 2 步是迄今为止最难的。环境的复杂性将决定深入挖掘的难度。在 Linux 系统上,您可能能够挖掘文件系统以查找正确的所有者信息,因为该信息可能独立于 SID 查找进行设置。您的 Windows 系统将困难得多。