Partager via


Utiliser Ntdsutil pour rechercher et nettoyer les identificateurs de sécurité en double

Cet article explique comment utiliser Ntdsutil pour rechercher et nettoyer les identificateurs de sécurité en double.

Numéro de base de connaissances d’origine : 816099

Résumé

Cet article explique comment rechercher et nettoyer ou supprimer des identificateurs de sécurité en double (SID) dans la base de données SAM. Chaque compte de sécurité, tel qu’un utilisateur, un groupe ou un ordinateur, a un SID unique. Les autorisations d’accès sont accordées ou refusées aux SID pour les ressources, telles que les fichiers, dossiers, imprimantes, boîtes aux lettres Microsoft Exchange, bases de données Microsoft SQL Server, objets stockés dans Active Directory et toutes les données protégées par le modèle de sécurité Windows Server.

Un SID contient des informations d’en-tête et un ensemble d’identificateurs relatifs qui identifient le domaine et le compte de sécurité. Dans un domaine, chaque contrôleur de domaine peut créer des comptes et émettre un SID unique pour chaque compte. Chaque contrôleur de domaine gère un pool d’ID relatifs utilisés pour créer des SID. Une fois que 80 % du pool d’ID relatif sont consommés, le contrôleur de domaine demande un nouveau pool d’identificateurs relatifs à partir du maître des opérations d’ID relatif. Vérifiez que le même pool d’ID relatifs n’est jamais alloué à différents contrôleurs de domaine et empêche l’allocation de SID en double. Toutefois, étant donné qu’il est possible (mais rare) d’allouer un pool d’ID relatifs en double, vous devez identifier ces comptes qui ont été émis des SID en double pour empêcher l’application d’une sécurité incorrecte.

Les pools d’ID relatifs dupliqués peuvent se produire si l’administrateur saisit le rôle maître d’ID relatif (rid master), tandis que le maître RID d’origine est opérationnel mais temporairement déconnecté du réseau. Dans la pratique classique, le rôle maître RID est pris en charge par un seul contrôleur de domaine après un cycle de réplication. Toutefois, avant la résolution de la propriété du rôle, deux contrôleurs de domaine différents peuvent demander un nouveau pool d’ID relatifs et être alloués au même pool d’ID relatif.

Démarrer Ntdsutil

Pour démarrer Ntdsutil, procédez comme suit :

  1. Sélectionnez Démarrer>Exécuter.
  2. Dans la zone Ouvrir , tapez ntdsutil, puis appuyez sur Entrée. Pour accéder à l’aide à tout moment, tapez ? à l’invite de commandes, puis appuyez sur Entrée.

Rechercher un SID en double

Pour rechercher un SID en double, procédez comme suit :

  1. À l’invite de commandes Ntdsutil, tapez la gestion des comptes de sécurité, puis appuyez sur Entrée.

  2. Pour vous connecter au serveur qui stocke votre base de données SAM (Security Account Maintenance), tapez connect to serverDNSNameOfServer à l’invite de commandes SAM, puis appuyez sur Entrée.

  3. À l’invite de commandes SAM, tapez le sid dupliqué, puis appuyez sur Entrée.

    Note

    Un affichage des doublons s’affiche.

Nettoyer un SID en double

  1. À l’invite de commandes Ntdsutil, tapez la gestion des comptes de sécurité, puis appuyez sur Entrée.

  2. Connectez-vous au serveur qui stocke votre base de données SAM (Security Account Maintenance). À l’invite de commandes SAM, tapez « se connecter à serverDNSNameOfServer », puis appuyez sur Entrée.

  3. À l’invite de commandes SAM, tapez nettoyer le sid dupliqué, puis appuyez sur Entrée.

    Note

    Ntdsutil confirme la suppression du doublon.

  4. À l’invite de commandes SAM, tapez q, puis appuyez sur Entrée.

  5. Une fois l’utilisation de Ntdsutil terminée, tapez q, puis appuyez sur Entrée.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.