Recuperación de bosques de Active Directory: invalidar el grupo de RID actual

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 y 2012 R2, Windows Server 2008 y 2008 R2

Aplique el procedimiento siguiente para usar Windows PowerShell para invalidar el grupo de RID actual en un controlador de dominio. Windows PowerShell está habilitado de forma predeterminada en Windows Server 2012 y Windows Server 2008 R2, pero no en Windows Server 2008, donde debe instalarse mediante Agregar características. Se puede descargar para ejecutarse en Windows Server 2003.

Para comprobar que el comando se completó correctamente, compruebe el identificador de evento 16654 (el origen es Directory-Services-SAM) en el registro del sistema de Visor de eventos, en Windows Server 2012. Las versiones anteriores de Windows no registran este evento.

Nota:

Después de invalidar el grupo de RID, recibirá un error al intentar crear por primera vez la entidad de seguridad (usuario, equipo o grupo). El intento de crear un objeto desencadena una solicitud para un nuevo grupo de RID. El reintento de la operación se realiza correctamente porque se asignará el nuevo grupo de RID.

Invalidar el grupo de RID actual

  • Abra una sesión de Windows PowerShell con privilegios elevados, ejecute el siguiente comando y presione ENTRAR:

    $Domain = New-Object System.DirectoryServices.DirectoryEntry
$DomainSid = $Domain.objectSid
$RootDSE = New-Object System.DirectoryServices.DirectoryEntry("LDAP://RootDSE")
$RootDSE.UsePropertyCache = $false
$RootDSE.Put("invalidateRidPool", $DomainSid.Value)
$RootDSE.SetInfo()

Pasos siguientes