SID в AD - SID от psgetsid?

Question

SID в AD - SID от psgetsid?

Хотите знать, если кто-нибудь может пролить свет на некоторую путаницу SID.

В настоящее время возникают проблемы с политикой, применяемой к нескольким компьютерам, основанным на одном образе. Один из наших администраторов запустил psgetsid \[PC] на нескольких из этих машин и вернул тот же SID. Однако когда я запускаю get-adcomputer [PC], powershell возвращает другой атрибут SID для тех же компьютеров.

Запутался, почему они разные.

4

active-directory group-policy sid

Источник

soMuch2Learn 19 сен '14 в 02:06

1 ответ

Решение

Другие вопросы по тегам active-directory group-policy sid

Ryan Ries 19 сен '14 в 02:21 2014-09-19 02:21 · Accepted Answer · 2014-09-19 02:21

Я думаю, вам нужно прочитать Миф о дублировании SID машины:

http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx

SID компьютера и SID /RID домена - это две разные вещи, поэтому при запуске локального инструмента на машине вы видите две разные вещи по сравнению с командлетом Active Directory Powershell. Пару заметок из комментариев к этой записи в блоге, которые вы должны прочитать:

Марк Руссинович: Вы предоставляете доступ к SID домена компьютера, а не к SID компьютера. Как и у пользователей, учетные записи компьютеров в Домене имеют пароли, но пароли управляются Доменом.
Марк Руссинович: да, за исключением того, что SID машины используются в качестве основы для SID домена, SID машины могли бы быть постоянными.

Кроме того, приятель Марка Аарон написал замечательную статью о различии SID локальной машины и SID домена:

http://blogs.msdn.com/b/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx

Аарон Маргозис: Вы можете увидеть SID компьютера на вашем компьютере, запустив Sysinternals PsGetSid без параметров. Вы можете увидеть второй SID в присоединенной к домену системе, передав PsGetSid имя компьютера, за которым следует $: psgetsid %COMPUTERNAME%$