Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo discute como usar o Ntdsutil para localizar e limpar identificadores de segurança duplicados.
Número original do KB: 816099
Resumo
Este artigo descreve como verificar e limpar ou remover SIDs (identificadores de segurança) duplicados no banco de dados SAM. Cada conta de segurança, como um usuário, grupo ou computador, tem um SID exclusivo. As permissões de acesso são concedidas ou negadas aos SIDs para recursos, como arquivos, pastas, impressoras, caixas de correio do Microsoft Exchange, bancos de dados do Microsoft SQL Server, objetos armazenados no Active Directory e quaisquer dados protegidos pelo modelo de segurança do Windows Server.
Um SID contém informações de cabeçalho e um conjunto de identificadores relativos que identificam o domínio e a conta de segurança. Em um domínio, cada controlador de domínio pode criar contas e emitir um SID exclusivo para cada conta. Cada controlador de domínio mantém um pool de IDs relativas que é usado para criar SIDs. Depois que 80% do pool de IDs relativos é consumido, o controlador de domínio solicita um novo pool de identificadores relativos do mestre de operações de ID relativo. Verifique se o mesmo pool de IDs relativas nunca é alocado para controladores de domínio diferentes e impede a alocação de SIDs duplicados. No entanto, como é possível (mas raro) que um pool de IDs relativos duplicados seja alocado, você precisa identificar as contas que receberam SIDs duplicados para evitar que a segurança incorreta seja aplicada.
Pools de IDs relativos duplicados podem ocorrer se o administrador assumir a função de mestre de ID relativa (mestre RID), enquanto o mestre RID original estiver operacional, mas temporariamente desconectado da rede. Na prática típica, a função mestra RID é assumida por apenas um controlador de domínio após um ciclo de replicação. No entanto, antes que a propriedade da função seja resolvida, dois controladores de domínio diferentes podem solicitar um novo pool de IDs relativos e receber o mesmo pool de IDs relativos.
Iniciar Ntdsutil
Para iniciar o Ntdsutil, siga estas etapas:
- Selecione Iniciar>Executar.
- Na caixa Abrir, digite ntdsutil e pressione Enter. Para acessar a Ajuda a qualquer momento, digite
?no prompt de comando e pressione Enter.
Procurar um SID duplicado
Para procurar um SID duplicado, siga estas etapas:
No prompt de comando Ntdsutil, digite gerenciamento de conta de segurança e pressione Enter.
Para se conectar ao servidor que armazena seu banco de dados SAM (Manutenção de Conta de Segurança), digite
connect to serverDNSNameOfServerno prompt de comando do SAM e pressione Enter.No prompt de comando do SAM, digite check duplicate sid e pressione Enter.
Observação
Uma exibição de duplicatas é exibida.
Limpar um SID duplicado
No prompt de comando Ntdsutil, digite gerenciamento de conta de segurança e pressione Enter.
Conecte-se ao servidor que armazena seu banco de dados SAM (Manutenção de Conta de Segurança). No prompt de comando do SAM, digite 'conectar ao serverDNSNameOfServer' e pressione Enter.
No prompt de comando do SAM, digite cleanup duplicate sid e pressione Enter.
Observação
O Ntdsutil confirma a remoção da duplicata.
No prompt de comando do SAM, digite q e pressione Enter.
Depois de terminar de usar o Ntdsutil, digite q e pressione Enter.
Coleta de dados
Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de replicação do Active Directory.