环境:Windows Server 2019 特殊软件创建并配置一个名为“app_users”的本地用户组,SID 为 X 在没有意识到通过“GPO 替换”的情况下,我意外删除了 SID 为 X 的本地用户组“app_users” 我以为我可以重新创建本地用户组“app_users”,但它现在有 SID Y 我该怎么做才能恢复这个具有原始 SID X 的原始本地用户组(以便使用它的软件能够以相关的安全权限正常运行)? 或者相反,是否有办法在组件/对象/权限/安全性等的任意位置搜索并将 SID X 替换为 SID Y? 我的替代方案是重新安装软件,但这...
我有一个 Windows 域和一个加入域的 Windows 客户端以及一个加入域的 SSSD Linux 客户端 Qumulo 存储阵列正在提供我正在查看的共享,并且主要包含全球可写的目录: drwxrwxrwx 49 guy guygroup 19064 May 1 13:42 . 例如,没有此目录特殊权限的标准 Windows 域用户可以在此创建文件夹和文件。但在 Linux 上则不能。 当您输入 USERNAME 时,Linux 机器会为您提供该用户所在的所有 AD 组,因此我们知道它至少在正常运行。 所以我认为 Qumulo 必须查看...
我们安装了新的 Exchange 2016 服务器,并将 Exchange 2010 服务器中的所有邮箱迁移到该服务器。然后,我们将所有邮箱和公用文件夹从 MSEX2016 迁移到 Office 365,并降级并关闭了 MSEX2010。本地 AD 通过我们其中一台本地服务器上的 Azure AD 连接器与 Azure AD 同步。 这种方法运行了几个星期,没有出现任何问题。所有客户端都能够访问 O365 上的公共文件夹及其邮箱。 昨天我们降级了 MSEX2016,几天前它已经关闭以进行测试。它上面没有 PF 活动,但无法以常规方式删除数据库,因为它始终显示...
我有一台 Windows 10 VM,最近升级到了 20H2。升级之前,我克隆了它并对其进行了系统准备,以创建一个测试系统,并首先在那里模拟了升级过程。在测试系统上成功完成升级过程后,我在生产系统上执行了相同的过程。 虽然整个操作系统升级成功,但生产虚拟机上的本地管理员和来宾帐户出现了问题。似乎每个帐户都有两个副本,且 SID 完全相同。运行(在 PowerShell 中)Get-LocalUser显示两个管理员帐户和两个来宾帐户。然而,运行net user只显示其中一个。在计算机管理中查看本地用户时,完全没有显示任何用户帐户。奇怪的是,这在测试系统上没有发...
Windows 安装程序在安装时为 Windows 系统分配一个唯一的计算机 SID。计算机 SID 不会在网络上公开,因此它是什么通常并不重要,但本地用户的安全标识符基于计算机 SID,这在共享 NTFS 卷上的用户配置文件和用户创建的文件时会产生问题。即使文件和文件夹的 ACL 只包含预定义的非计算机特定 SID(例如内置管理员组),它们的所有者也是创建本地用户,由计算机 SID 和用户 RID 标识。例如,如果您想从全新的 Windows 安装媒体编写脚本构建您的开发系统,就像它是一个 Linux 容器一样,就会出现这种情况。在这种情况下,您希望构建的...
ICACLS 可以使用下面的命令保存一棵树的 ACL,a_dir_root这棵树的根在哪里: icacls a_dir_root\ /save AclFile /T /C /Q 当然,组是通过 SID 来标识的。我想在另一台服务器上恢复它们,该服务器具有按名称设置的相同组,但它们映射的 SID 与源服务器不同。 有没有一种简单而优雅的方法,或者我应该计划为这个任务编写一个脚本,即用映射名称替换 ACL 文件中所有 SID 的几行?(一个自动版本的强力替换) 有一次我使用了一个在 Cygwin 上运行的 Bash 脚本,但它当然受到了布洛达。我在开始编...
作为一家为客户提供 IT 系统、服务器和一切的 IT 公司。我试图找到有关 Active Directory 和用户离开公司的最佳实践。我们有不同类型的客户,他们来自不同类型的企业,有大有小。因此,我们有相当多的服务器和许多 Active Directory 需要维护。有人告诉我,我们绝不能删除 AD 中的用户对象,因为如果用户名被重复使用,这是一个很大的安全问题。我被告知的原因是,新用户可能会获得与之前使用过的用户名相同的用户名,这可能会让他获得不应拥有的访问权限。例如,直接在共享文件夹上授予访问权限,而不是通过安全组授予访问权限。 我研究并阅读了大量关于...
当我whoami /user在命令行上执行时,我得到 User Name SID ===================== ============================================== tq84\rene.nyffenegger S-1-5-21-1111111111-2222222222-3333333333-1224 但是,如果我执行,wmic useraccount where name='%username%' get sid 我会得到一个不同的 SID: S-1-5-21-44444...
每当我转到这台新的 Server 2016 计算机上的安全选项卡时,自定义组 SID 都需要 20 多秒才能解析为其本地名称。但是,用户名几乎可以立即解析,内置组“SYSTEM”、“管理员”、“用户”也是如此。我注意到,对于某些人来说,这个问题与他们 AD 设置上的 DNS 配置有关,但这是一个简单的独立文件服务器,不属于域或域控制器。此服务器的两个 NIC 的 DNS 条目指向本地路由器。 每次我尝试添加新的共享权限时,也会出现同样的问题,基本上每次显示权限列表时,如果权限列表中添加了本地组,就会出现这种情况。这使得更改权限变得非常困难。 知道可能是什...
我知道 newsid 的创建者 Russinovik 在近 10 年前就将其淘汰了,因此在 Windows 10 机器上运行它绝对不是一个好主意。无论如何,我收到了两台新电脑,它们可能是从同一张图片生成的,并且它们具有相同的机器侧。我没有什么可失去的所以我决定尝试一下。 现在 Windows 10 尝试启动,但它停止了,因为它说它坏了。我尝试在所有可用的恢复模式但它也失败了。我只能得到命令提示符。 重新安装 Windows 10 之前我可以做些什么吗? ...
我正在尝试将 2012 R2 服务器加入由另一台 2012 R2 服务器控制的域。该域是一个测试域,但它可以正常工作。我将另一台服务器加入了此域。 但我一直在尝试创建一个可以克隆的 VM 映像,它似乎工作正常。启动后,发生了 OOBE,要求输入产品密钥。 但是当我尝试将机器加入域时,失败了。我没有立即收到 SID 重复错误,但最终它出现了。因此,我运行了 Microsoft 的 PsGetsid64 可执行文件,果然,该服务器的 SID 与我的域控制器相同(也是从同一模板创建的)。 我重新运行 sysprep,并重新导入 VM,仍然具有相同的 SID。...
我在使用 sid 进行名称查找时遇到以下问题。 域 A 已迁移到域 B,并带有 sid 历史记录。域 B 中的用户拥有其主域 B sid 和域 A 中的历史 sid。 我在域 B 和域 C 之间建立了双向传递信任。 域 C 中成员服务器上存储的数据中的 acls 中设置了许多来自域 A 的历史 sid。 在成员服务器上创建网络共享,供域 B 中的用户使用和存储数据。 这似乎会触发对位于域 C 的 DC 的大量 sid/name 查找。 当用户连接到域 C 中成员服务器上的网络共享时,与该帐户关联的历史 sid(来自域 A)也会触发 sid/名称查...
我有对象标识符ldapsearch 命令返回的属性,我该如何生成SID以人类可读的格式呈现? ldapsearch 命令: ldapsearch -LLL -H ldap://dc.example.com:389 -b dc=example,dc=lk -D example\administrator -w adminPassword "(sAMAccountName=bob)" | grep -i "objectSid::" | cut -d ":" -f3 | xargs 此命令返回 AD 用户“bob”的 objectSid。假设它返回的 ob...
Active Directory 中 SID 中的“标识符授权机构”是什么意思?在我的域控制器中,对象的 SID 表示 5,即 NT 授权机构。那么标识符授权机构实际上是什么意思,它指向什么? ...
在运行 Windows 7 的 Active Directory 域成员上,我有一个本地组。它有用户和其他组作为成员: 我如何才能获取此本地组每个成员的 SID? 我知道 Sysinternals 实用程序获取Sid但似乎无法列举群组成员。 ...