想知道是否有人可以解释一下 SID 混淆。
目前,一些策略应用于基于同一映像的几台机器时出现问题。我们的一位管理员在其中几台机器上运行了 psgetsid \[PC],并返回了相同的 SID。但是,当我运行 get-adcomputer [PC] 时,powershell 为相同的机器返回了不同的 SID 属性。
不明白为什么这些不同。
答案1
我认为您需要阅读《机器 SID 重复神话》:
http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx
计算机 SID 和域 SID/RID 是两个不同的东西,这就是为什么在计算机上运行本地工具与 Active Directory Powershell cmdlet 时会看到两个不同的东西。您应该阅读该博客文章评论中的几条注释:
Mark Russinovich:您授予的是计算机域 SID 的访问权限,而不是计算机 SID。与用户一样,域中的计算机帐户也有密码,但密码由域管理。
Mark Russinovich:是的,除了机器 SID 被用作域 SID 的基础之外,机器 SID 可能是一个常量。
此外,Mark 的好友 Aaron 还写了一篇关于本地机器 SID 和域 SID 之间区别的精彩补充文章:
http://blogs.msdn.com/b/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx
Aaron Margosis:您可以通过运行不带参数的 Sysinternals PsGetSid 来查看计算机上的机器 SID。您可以通过将计算机名称后跟 $ 传递给 PsGetSid 来查看加入域的系统上的第二个 SID:psgetsid %COMPUTERNAME%$