客戶端機器經常從域裏面掉出來的問題解決之方法
通常是以下幾個問題會造成這樣的情況
1. 網線接觸不良。九成是網線問題。用PING 服務器的命令看一下網絡是否接通。如果沒有,請用測線儀測網線。還是無法解決的話,換一下
交換機接口,還無法解決?換交換機吧
交換機接口,還無法解決?換交換機吧
2.一定是用GHOST做的機器,然後沒有運行NEWSID更換SID,所以會造成多臺同SID的機器在域內引起脫域.
3.如果一臺域中機器長時間不用帳戶登陸,而策略中又有30天不登陸自動退域的設置就會出現脫域情況.
3.如果一臺域中機器長時間不用帳戶登陸,而策略中又有30天不登陸自動退域的設置就會出現脫域情況.
還有一種可能,是機器的時間和域控制器的時間相差超過五分鐘,也會造成無法登陸到域的
通常是以下幾個問題會造成這樣的情況
1. 網線接觸不良。九成是網線問題。用PING 服務器的命令看一下網絡是否接通。如果沒有,請用測線儀測網線。還是無法解決的話,換一下
交換機接口,還無法解決?換交換機吧
交換機接口,還無法解決?換交換機吧
2.一定是用GHOST做的機器,然後沒有運行NEWSID更換SID,所以會造成多臺同SID的機器在域內引起脫域.
3.如果一臺域中機器長時間不用帳戶登陸,而策略中又有30天不登陸自動退域的設置就會出現脫域情況.
3.如果一臺域中機器長時間不用帳戶登陸,而策略中又有30天不登陸自動退域的設置就會出現脫域情況.
還有一種可能,是機器的時間和域控制器的時間相差超過五分鐘,也會造成無法登陸到域的
2問題的SID 或許很多人不明白,其實我也不是非常的明白(一起學習吧)
SID是什麼意思?好像接觸活動目錄activedirectory的朋友,很少有人問什麼是sid,sid是什麼意思?其實活動目錄中經常遇到的ghost克隆問題,雙系統加入域老是會有一個自動退出域,等等問題都與sid有關。此外還有很多朋友關心如何查看sid,修改sid?《SID是什麼》這篇文章就爲大家解釋一下SID的問題。
SID是什麼意思
對於那些一看到縮寫詞腦子就會一片空白的人來說(這裏可沒有責怪您的意思),SID 只是安全標識符的縮寫而已。SID 的全稱是“安全標識符(Security Identify)”,是爲域或本地計算機中創建的每個帳戶分配的唯一 ID 字符串(例如,S-1-5-21-1454471165-1004336348-1606980848-5555)。
對於那些一看到縮寫詞腦子就會一片空白的人來說(這裏可沒有責怪您的意思),SID 只是安全標識符的縮寫而已。SID 的全稱是“安全標識符(Security Identify)”,是爲域或本地計算機中創建的每個帳戶分配的唯一 ID 字符串(例如,S-1-5-21-1454471165-1004336348-1606980848-5555)。
活動目錄seo提示:active directory活動目錄域中每一個對象也有一個唯一標識,成爲GUID。GUID=SID + RID 。活動目錄中專門有一個操作主機角色叫RID,就是爲域中的每個對象分配一個RID號。最終GUID在所有域,乃至全世界都是唯一的。
這裏提到的賬戶包括用戶賬戶和計算機賬戶。其中計算機賬戶爲了更高級別的安全性要求,會與一些計算機硬件信息相關聯。文章開頭提到的兩個SID的問題,是由於活動目錄數據庫已經不再信任計算機賬戶,認爲這個計算機賬戶是不安全的,所謂的安全通道 security channel被破壞。關於這個問題的詳細解釋可以參考
實際上,計算機使用 SID 來跟蹤每個帳戶: 如果重命名管理員帳戶,計算機仍然知道哪個帳戶是管理員帳戶。 這是因爲 SID 不同於名稱,它永遠不會更改。
就我們所討論的問題而言,記住 SID 是操作系統跟蹤帳戶使用的一種方法就行了。例如,您可以重命名計算機上的 Administrator 帳戶,並且仍將該帳戶用作管理員,這是因爲 Windows 真正關心的並不是名稱是什麼;Windows 仍然知道該帳戶是 Administrator 帳戶,因爲無論帳戶名稱如何變化,SID 保持不變。這就像您的社會安全號碼一樣(假定他人沒有盜用您的身份信息),無論您的名字如何變化,它都可唯一地標識您的身份。
在大多數情況下,您不必擔心 SID 問題,這對您是有好處的:顯然,使用帳戶名(如 kenmyer)要比使用 SID(如 S-1-5-21-1454471165-1004336348-1606980848-5555)容易一些。然而,在某些情況下,瞭解 SID 對應於哪個用戶帳戶是很有用的。例如,WMI 的安全類依賴於 SID;類似地,Windows 註冊表根據 SID 而不是根據名稱來跟蹤用戶配置文件(請查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList,就會明白我們的意思了)。也許,您不需要知道用戶的 SID ,但是,如果恰巧碰到了呢。
如何查看SID
SID 的功能聽起來還相當不錯,除了以下一點: 如果 SID 是唯一的標識符,那麼我們如何才能確定哪個 SID 代表管理員帳戶?這是“衆所周知”的部分傳入的位置。在計算機上,本地管理員的 SID 將始終以 S-1-5- 開始,以 -500 結束。 (這就是管理員 SID 及諸如 Guest 帳戶的 SID 之類的其它 SID 被視爲衆所周知的原因。) 例如,您可能具有一個類似於下列內容的 SID:
SID 的功能聽起來還相當不錯,除了以下一點: 如果 SID 是唯一的標識符,那麼我們如何才能確定哪個 SID 代表管理員帳戶?這是“衆所周知”的部分傳入的位置。在計算機上,本地管理員的 SID 將始終以 S-1-5- 開始,以 -500 結束。 (這就是管理員 SID 及諸如 Guest 帳戶的 SID 之類的其它 SID 被視爲衆所周知的原因。) 例如,您可能具有一個類似於下列內容的 SID:
S-1-5-21-1559272821-92556266-1055285598-500
正如您所看到的那樣,我們的 SID 以 S-1-5- 開始,以 -500 結束。如果我們能夠找到符合該模式的 SID,就找到了我們的本地管理員帳戶。
那麼如何查看sid呢?很簡單,如果您想查看當前登陸賬戶的sid,那麼在cmd命令行下輸入如下命令:
whoami /logonid 查看當前登錄賬戶的sid
whoami /groups 查看當前用戶名、屬於的組以及安全標識符(SID) 和當前用戶訪問令牌的特權。
whoami /logonid 查看當前登錄賬戶的sid
whoami /groups 查看當前用戶名、屬於的組以及安全標識符(SID) 和當前用戶訪問令牌的特權。
那如果想知道其他賬戶的sid呢?也很容易,將如下文字保存爲 .vbs後綴的文件,然後執行就可以了。
----不包含此行---
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objAccount = objWMIService.Get _
("Win32_UserAccount.Name='用戶名',Domain='電腦名字或者是域名'")
Wscript.Echo objAccount.SID
----不包含此行----
----不包含此行---
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objAccount = objWMIService.Get _
("Win32_UserAccount.Name='用戶名',Domain='電腦名字或者是域名'")
Wscript.Echo objAccount.SID
----不包含此行----
怎麼修改SID
NewSID.exe工具下載地址 http://download.sysinternals.com/Files/NewSid.zip
許多組織使用磁盤映像克隆技術來大規模部署 Windows。此方法要求將完全安裝和配置的 Windows 計算機的磁盤複製到其他計算機的磁盤驅動器。其他這些計算機似乎已經有效地完成了相同的安裝過程,並且可以立即使用。
NewSID.exe工具下載地址 http://download.sysinternals.com/Files/NewSid.zip
許多組織使用磁盤映像克隆技術來大規模部署 Windows。此方法要求將完全安裝和配置的 Windows 計算機的磁盤複製到其他計算機的磁盤驅動器。其他這些計算機似乎已經有效地完成了相同的安裝過程,並且可以立即使用。
雖然此方法節省了數小時的工作量並且比其他部署方法有效,但是它存在一個嚴重問題,即每個克隆的系統都具有一個完全相同的計算機安全標識符 (SID)。這一因素會損害工作組環境的安全性,並且在具有多個相同計算機 SID 的網絡中,還可能損害可移動媒體安全性。
來自 Windows 社區的要求已經促使多家公司開發可以在克隆系統後更改計算機的 SID 的程序。但是,Symantec 的 SID Changer 和 Symantec 的 Ghost Walker 僅作爲每家公司的高端產品出售。而且,它們都從 DOS 命令提示窗口中運行(Altiris 的更改器類似於 NewSID)。
NewSID 是我們開發的可更改計算機的 SID 的程序。它是一個免費的 Win32 程序,這意味着它可以容易地在以前克隆的系統上運行。NewSID 可在 Windows NT 4、Windows 2000、Windows XP 和 Windows .NET Server 上運行。
NewSID 是我們開發的可用來更改計算機 SID 的程序。它首先爲計算機生成一個隨機的 SID,然後更新它在註冊表和文件安全描述符中找到的現有計算機 SID 的實例,並用新 SID 替換舊SID。NewSID 要求使用管理權限運行。它有兩個功能:更改 SID 和更改計算機名稱。
要使用 NewSID 的自動運行選項,請在命令行中指定“/a”。您還可以通過在“/a”開關後面包含新名稱來指示它自動更改計算機的名稱。例如:
newsid /a [newname]
將使 NewSID 無提示運行,將計算機名稱更改爲“newname”,並且在一切正常的情況下重新啓動計算機。
注意:如果要運行 NewSID 的系統正在運行 IISAdmin,則必須在運行 NewSID 之前停止 IISAdmin 服務。使用以下命令可停止 IISAdmin 服務:net stop iisadmin /y
NewSID 的 SID 同步功能使您可以指定從另一臺計算機獲取新 SID 而不是隨機生成 SID。使用此功能,可以將備份域控制器 (BDC) 移動到一個新域,因爲根據 BDC 與其他域控制器 (DC) 具有相同的計算機 SID,可以確定該 BDC 與某個域的關係。只需選擇“Synchronize SID”按鈕並輸入目標計算機的名稱。您必須具有更改目標計算機的註冊表項的安全設置的權限,這通常意味着您必須以域管理員身份登錄才能使用此功能。
請注意,當您運行 NewSID 時,註冊表的大小將會增長,因此請確保註冊表最大大小能夠適應這一增長。我們已發現這一增長對系統性能沒有明顯影響。註冊表增長的原因是:當 NewSID 應用臨時安全設置時,註冊表變零碎了。刪除這些設置後,註冊表不受影響。