SID в AD - SID от psgetsid?
Хотите знать, если кто-нибудь может пролить свет на некоторую путаницу SID.
В настоящее время возникают проблемы с политикой, применяемой к нескольким компьютерам, основанным на одном образе. Один из наших администраторов запустил psgetsid \[PC] на нескольких из этих машин и вернул тот же SID. Однако когда я запускаю get-adcomputer [PC], powershell возвращает другой атрибут SID для тех же компьютеров.
Запутался, почему они разные.
1 ответ
Я думаю, вам нужно прочитать Миф о дублировании SID машины:
http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx
SID компьютера и SID /RID домена - это две разные вещи, поэтому при запуске локального инструмента на машине вы видите две разные вещи по сравнению с командлетом Active Directory Powershell. Пару заметок из комментариев к этой записи в блоге, которые вы должны прочитать:
Марк Руссинович: Вы предоставляете доступ к SID домена компьютера, а не к SID компьютера. Как и у пользователей, учетные записи компьютеров в Домене имеют пароли, но пароли управляются Доменом.
Марк Руссинович: да, за исключением того, что SID машины используются в качестве основы для SID домена, SID машины могли бы быть постоянными.
Кроме того, приятель Марка Аарон написал замечательную статью о различии SID локальной машины и SID домена:
http://blogs.msdn.com/b/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx
Аарон Маргозис: Вы можете увидеть SID компьютера на вашем компьютере, запустив Sysinternals PsGetSid без параметров. Вы можете увидеть второй SID в присоединенной к домену системе, передав PsGetSid имя компьютера, за которым следует $: psgetsid %COMPUTERNAME%$