Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo usar Ntdsutil para buscar y limpiar identificadores de seguridad duplicados.
Número de KB original: 816099
Resumen
En este artículo se describe cómo comprobar y limpiar o quitar identificadores de seguridad duplicados (SID) en la base de datos SAM. Cada cuenta de seguridad, como un usuario, grupo o equipo, tiene un SID único. Los permisos de acceso se conceden o deniegan a los SID para recursos, como archivos, carpetas, impresoras, buzones de Microsoft Exchange, bases de datos de Microsoft SQL Server, objetos almacenados en Active Directory y cualquier dato protegido por el modelo de seguridad de Windows Server.
Un SID contiene información de encabezado y un conjunto de identificadores relativos que identifican el dominio y la cuenta de seguridad. En un dominio, cada controlador de dominio puede crear cuentas y emitir un SID único a cada cuenta. Cada controlador de dominio mantiene un grupo de identificadores relativos que se usa para crear SID. Después de consumir el 80 % del grupo de identificadores relativos, el controlador de dominio solicita un nuevo grupo de identificadores relativos del maestro de operaciones de identificador relativo. Asegúrese de que el mismo grupo de identificadores relativos nunca se asigna a distintos controladores de dominio y evite la asignación de SID duplicados. Sin embargo, dado que es posible (pero poco frecuente) asignar un grupo de identificadores relativos duplicado, debe identificar las cuentas que se han emitido SID duplicados para evitar que se aplique una seguridad incorrecta.
Los grupos de identificadores relativos duplicados pueden producirse si el administrador usa el rol maestro de identificador relativo (maestro rid), mientras que el maestro rid original está operativo pero se desconecta temporalmente de la red. En la práctica típica, solo un controlador de dominio asume el rol maestro rid después de un ciclo de replicación. Sin embargo, antes de que se resuelva la propiedad del rol, dos controladores de dominio diferentes podrían solicitar un nuevo grupo de identificadores relativos y asignarse el mismo grupo de identificadores relativos.
Iniciar Ntdsutil
Para iniciar Ntdsutil, siga estos pasos:
- Seleccione Inicio>Ejecutar.
- En el cuadro Abrir , escriba ntdsutil y presione Entrar. Para acceder a la Ayuda en cualquier momento, escriba
?en el símbolo del sistema y presione Entrar.
Buscar un SID duplicado
Para buscar un SID duplicado, siga estos pasos:
En el símbolo del sistema ntdsutil, escriba administración de cuentas de seguridad y presione Entrar.
Para conectarse al servidor que almacena la base de datos de mantenimiento de cuentas de seguridad (SAM), escriba
connect to serverDNSNameOfServeren el símbolo del sistema de SAM y presione Entrar.En el símbolo del sistema sam, escriba comprobar sid duplicado y presione Entrar.
Nota:
Aparece una presentación de duplicados.
Limpieza de un SID duplicado
En el símbolo del sistema ntdsutil, escriba administración de cuentas de seguridad y presione Entrar.
Conéctese al servidor que almacena la base de datos de mantenimiento de cuentas de seguridad (SAM). En el símbolo del sistema SAM, escriba "connect to serverDNSNameOfServer" y presione Entrar.
En el símbolo del sistema sam, escriba limpieza de sid duplicado y presione Entrar.
Nota:
Ntdsutil confirma la eliminación del duplicado.
En el símbolo del sistema SAM, escriba q y presione Entrar.
Después de terminar de usar Ntdsutil, escriba q y presione Entrar.
Recolección de datos
Si necesita ayuda del soporte técnico de Microsoft, se recomienda recopilar la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.