Utiliser Ntdsutil pour rechercher et propre des identificateurs de sécurité en double

  • Article

Cet article explique comment utiliser Ntdsutil pour rechercher et propre des identificateurs de sécurité en double.

Produits concernés : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 816099

Résumé

Cet article explique comment case activée pour et propre ou supprimer des identificateurs de sécurité (SID) en double dans la base de données SAM. Chaque compte de sécurité, tel qu’un utilisateur, un groupe ou un ordinateur, a un SID unique. Les autorisations d’accès sont accordées ou refusées aux SID pour les ressources, telles que les fichiers, les dossiers, les imprimantes, les boîtes aux lettres Microsoft Exchange, les bases de données Microsoft SQL Server, les objets stockés dans Active Directory et toutes les données protégées par le modèle de sécurité Windows Server.

Un SID contient des informations d’en-tête et un ensemble d’identificateurs relatifs qui identifient le domaine et le compte de sécurité. Dans un domaine, chaque contrôleur de domaine peut créer des comptes et émettre un SID unique pour chaque compte. Chaque contrôleur de domaine gère un pool d’ID relatifs qui est utilisé pour créer des SID. Une fois que 80 % du pool d’ID relatifs sont consommés, le contrôleur de domaine demande un nouveau pool d’identificateurs relatifs à partir des opérations d’ID relatifs master. Assurez-vous que le même pool d’ID relatifs n’est jamais alloué à différents contrôleurs de domaine et empêche l’allocation de SID en double. Toutefois, étant donné qu’il est possible (mais rare) d’allouer un pool d’ID relatifs en double, vous devez identifier les comptes qui ont reçu des SID en double pour empêcher l’application d’une sécurité incorrecte.

Des pools d’ID relatifs en double peuvent se produire si l’administrateur saisit le rôle d’ID master relatif (master RID), alors que le master RID d’origine est opérationnel mais temporairement déconnecté du réseau. Dans la pratique classique, le rôle de master RID est assumé par un seul contrôleur de domaine après un cycle de réplication. Toutefois, avant que la propriété du rôle ne soit résolue, deux contrôleurs de domaine différents peuvent demander chacun un nouveau pool d’ID relatifs et se voir allouer le même pool d’ID relatifs.

Démarrer Ntdsutil

Pour démarrer Ntdsutil, procédez comme suit :

  1. Sélectionnez Démarrer>Exécuter.
  2. Dans la zone Ouvrir , tapez ntdsutil, puis appuyez sur Entrée. Pour accéder à l’aide à tout moment, tapez ? à l’invite de commandes, puis appuyez sur Entrée.

Rechercher un SID dupliqué

Pour rechercher un SID en double, procédez comme suit :

  1. À l’invite de commandes Ntdsutil, tapez Gestion des comptes de sécurité, puis appuyez sur Entrée.

  2. Pour vous connecter au serveur qui stocke votre base de données de maintenance de compte de sécurité (SAM), tapez connect to serverDNSNameOfServer à l’invite de commandes SAM, puis appuyez sur Entrée.

  3. À l’invite de commandes SAM, tapez case activée sid en double, puis appuyez sur Entrée.

    Remarque

    Un affichage des doublons s’affiche.

Nettoyer un SID en double

  1. À l’invite de commandes Ntdsutil, tapez Gestion des comptes de sécurité, puis appuyez sur Entrée.

  2. Connectez-vous au serveur qui stocke votre base de données sam (Security Account Maintenance). À l’invite de commandes SAM, tapez « connect to serverDNSNameOfServer », puis appuyez sur Entrée.

  3. À l’invite de commandes SAM, tapez cleanup duplicate sid, puis appuyez sur Entrée.

    Remarque

    Ntdsutil confirme la suppression du doublon.

  4. À l’invite de commandes SAM, tapez q, puis appuyez sur Entrée.

  5. Une fois que vous avez terminé d’utiliser Ntdsutil, tapez q, puis appuyez sur Entrée.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.