SID在加入域和AD身份验证中的作用?

SID在加入域和AD身份验证中的作用?

感谢最近对我的问题的回答,我能够使用 sysprep 创建一个准备在我们的组织中部署的 Windows 7 系统映像。

我了解到使用 sysprep 的过程会为系统创建一个新的机器 SID,因此在新部署的系统上无需运行 newSID 软件。此外,我还看到马克·鲁西诺维奇的博客文章中说机器 SID 不再是问题。但是,我仍然有点困惑:

作为我们团队的技术支持技术人员之一,我有时会接到客户的电话,他们的计算机无法连接到我们的 Windows 域,或者无法使用他们的 AD 凭据登录(错误消息类似于“无法访问域”等,而其他计算机可以)。

根据我们的一位管理员的说法,问题在于计算机 SID 重复,因为另一台具有相同 SID 的计算机已经登录,所以该计算机无法登录。他说这就是为什么有时现在无法加入域的计算机会突然在一小时后能够加入,因为另一台冲突的机器已关闭。

他会要求我们在有问题的计算机上运行 newSID 来解决问题。有趣的是,在 (1) 离开域、(2) 运行 newSID、然后 (3) 将计算机重新加入我们的域之后,用户将能够使用 AD 帐户登录。这似乎与我提到的博客文章相冲突,该博客文章声称机器 SID 不再有用。

为了更好地帮助我的客户并更好地理解这一切是如何运作的,我想问以下问题:

(1)据我所知,newSID 和 sysprep 都会给计算机带来新的机器SID。此计算机 SID 在成功加入域或使用 AD 凭据登录计算机方面起什么作用?当两个具有相同计算机 SID 的系统尝试执行此操作时会发生什么?我们的管理员所说的“SID 冲突”与此有关吗?为什么运行 newSID 可能会有所帮助?

(2)Windows XP 和 Windows 7 中这个问题有区别吗?

(3)微软是否有关于这一切的官方文档?

预先感谢您的帮助!

答案1

此计算机 SID 在成功加入域或使用 AD 凭据登录计算机方面起什么作用?当两个具有相同计算机 SID 的系统尝试执行此操作时会发生什么?我们的管理员所说的“SID 冲突”与此有关吗?为什么运行 newSID 可能会有所帮助?

这没有帮助。通过重新加入域,可以解决(或暂时掩盖)其他问题。

仅有的这种情况会导致域出现问题,如果该机器是该域的克隆(没有新的 SID),第一的用于创建此域的域控制器。

NewSID 重新生成的 SID 不是活动目录中计算机对象的 SID(或者更准确地说,子授权 ID)(您可能会在这里遇到冲突),它是用于本地用户帐户数据库的授权 ID。

回到“第一个域控制器”——该机器的 SID 授权 ID 将成为域的授权 ID;其他系统如果其本地用户也拥有相同的 SID,则会在域中遇到问题。除了这种情况之外,不存在任何可能的冲突——尤其是不会出现会导致与域通信问题的冲突。

换句话说 - 他让你看错了地方:)

Windows XP 和 Windows 7 之间的这个问题是否不同?

不,行为相同。

微软是否有关于这一切的官方文档?

确实,那篇博客文章可能是最好的文档。

答案2

我认为您的管理员对 SID 在域环境中的工作方式有一些错误的假设。计算机 SID 与 Active Directory 中为该计算机生成的 SID 并不直接相关。由于另一台计算机在线,计算机无法登录或加入,这实际上意味着您的管理员对 AD 的理解不够充分。

您看到的问题很可能是由于机器/计算机帐户密码过期造成的。这些密码是在 AD 中自动生成的,每 30 天轮换一次。如果计算机在此期间处于离线状态,它将尝试使用旧密码进行身份验证。用户将无法通过这些计算机登录,因为 AD 积极拒绝验证计算机帐户。我相信您的管理员提供的解决方案之所以有效,是因为在域取消加入/重新加入期间会重新生成帐户和密码。您可以通过绕过步骤 2 来测试此理论。

或者,如果你的机器上有 powershell v4,你可以使用新的测试计算机安全通道commandlet 检查该计算机与域之间的信任关系的状态。如果 powershell v4 不可用网络世界也可以用来重置机器密码。

如果您的信任/身份验证检查通过,那么您可能正在查看 AD 的其他问题、潜在的复制或 FSMO 角色问题。

某些 Microsoft 软件功能(WSUS、SCCM、SCEP 等)仍在使用机器帐户 SID。我还看到第三方供应商(比如 symantec)使用机器 SID。您可以不进行系统准备,但在这个拥有可用映像技术的时代,没有理由跳过对映像进行系统准备。

关于您的问题 (2)。Win7 和 XP 之间有一些结构变化,但据我所知,SID 的运行方式应该不会有任何根本性的变化,尽管正如我所说,一些软件要求已经发生了变化。

对于你的第三个问题,我建议你阅读微软的 Technet 页面SID并查看加入和身份验证故障排除页面(也是 technet)。如果这不能回答您的所有问题,我建议您阅读一两本有关该主题的书,LDAP 和 AD 确实需要深入研究,但它们背后的概念是现代 IT 工作者知识集的重要组成部分。

相关内容