SID在加入域和AD身份验证中的作用？

此计算机 SID 在成功加入域或使用 AD 凭据登录计算机方面起什么作用？当两个具有相同计算机 SID 的系统尝试执行此操作时会发生什么？我们的管理员所说的“SID 冲突”与此有关吗？为什么运行 newSID 可能会有所帮助？

这没有帮助。通过重新加入域，可以解决（或暂时掩盖）其他问题。

这仅有的这种情况会导致域出现问题，如果该机器是该域的克隆（没有新的 SID），第一的用于创建此域的域控制器。

NewSID 重新生成的 SID 不是活动目录中计算机对象的 SID（或者更准确地说，子授权 ID）（您可能会在这里遇到冲突），它是用于本地用户帐户数据库的授权 ID。

回到“第一个域控制器”——该机器的 SID 授权 ID 将成为域的授权 ID；其他系统如果其本地用户也拥有相同的 SID，则会在域中遇到问题。除了这种情况之外，不存在任何可能的冲突——尤其是不会出现会导致与域通信问题的冲突。

换句话说 - 他让你看错了地方:)

Windows XP 和 Windows 7 之间的这个问题是否不同？

不，行为相同。

微软是否有关于这一切的官方文档？

确实，那篇博客文章可能是最好的文档。

我认为您的管理员对 SID 在域环境中的工作方式有一些错误的假设。计算机 SID 与 Active Directory 中为该计算机生成的 SID 并不直接相关。由于另一台计算机在线，计算机无法登录或加入，这实际上意味着您的管理员对 AD 的理解不够充分。

您看到的问题很可能是由于机器/计算机帐户密码过期造成的。这些密码是在 AD 中自动生成的，每 30 天轮换一次。如果计算机在此期间处于离线状态，它将尝试使用旧密码进行身份验证。用户将无法通过这些计算机登录，因为 AD 积极拒绝验证计算机帐户。我相信您的管理员提供的解决方案之所以有效，是因为在域取消加入/重新加入期间会重新生成帐户和密码。您可以通过绕过步骤 2 来测试此理论。

或者，如果你的机器上有 powershell v4，你可以使用新的测试计算机安全通道commandlet 检查该计算机与域之间的信任关系的状态。如果 powershell v4 不可用网络世界也可以用来重置机器密码。

如果您的信任/身份验证检查通过，那么您可能正在查看 AD 的其他问题、潜在的复制或 FSMO 角色问题。

某些 Microsoft 软件功能（WSUS、SCCM、SCEP 等）仍在使用机器帐户 SID。我还看到第三方供应商（比如 symantec）使用机器 SID。您可以不进行系统准备，但在这个拥有可用映像技术的时代，没有理由跳过对映像进行系统准备。

关于您的问题 (2)。Win7 和 XP 之间有一些结构变化，但据我所知，SID 的运行方式应该不会有任何根本性的变化，尽管正如我所说，一些软件要求已经发生了变化。

对于你的第三个问题，我建议你阅读微软的 Technet 页面SID并查看加入和身份验证故障排除页面（也是 technet）。如果这不能回答您的所有问题，我建议您阅读一两本有关该主题的书，LDAP 和 AD 确实需要深入研究，但它们背后的概念是现代 IT 工作者知识集的重要组成部分。