지난 주에 우리 인간 중 일부는 SID 기록에 추가하기 위한 액세스를 거부하는 오류가 발생했습니다. 이 문제는 다양한 이유로 발생할 수 있습니다. 아래를 살펴보겠습니다.
승인됨: Fortect
SID 기록이 실행되지 않습니다
저는 현재 연구실에서 AD ’03을 마이그레이션하려고 하는데 이 아이디어가 작동할 것으로 예상하기 때문에 SID 기록이 작동하지 않는 상황이 발생했습니다.
기본 모드에서 두 개의 개별 w2k3 포리스트/도메인이 있습니다. SID 기록이 활성화되고 검역소가 다르게 활성화된 전체 포리스트 기관이 있습니다(Netdom Trust <...>를 통해 / EnableSIDHistory: 예, 확실히 및 / 검역: 아니요). SID 기록이 있는 Quest QMM을 통해 사용자 지정을 마이그레이션했습니다. ADSIEDIT를 통해
주체를 확인할 때 도메인을 구입하는
의 objectSID가 이
사람들에 대한 대상 도메인의 sIDHistory 기능 항목과 일치한다는 것을 알 수 있습니다.
전체 스토리 웹 페이지가 작동하는지 확인하기 위해 나는 특별한 간단한 연구를 시도할 것입니다. 마이그레이션된 소유자에 속하는 지정된
폴더를 고려하여 원래 도메인에서 워크스테이션을 통해 공유를 만들었습니다. 이 경우 사용자는 일반적으로 새 대상 도메인의
워크스테이션에 로그인하거나 가장 중요한 폴더에 액세스하려고 합니다.
원래 도메인의 다양한 사용자에게 허용된
SID 기록을 통해 폴더에 액세스할 수 있을 것으로 예상했습니다. 그러나 그것은 당신이 나를 위해 일해야합니다. 범죄화된 오류에 액세스하고 있습니다.
추가
내가 정확한 사용자를 폴더로 직접 이동하면 액세스할 수 있습니다.
폴더가 있는 워크스테이션에서 NT AUTHORITY ANONYMOUS
LOGON, 이벤트 ID: 많은 540이 표시됩니다. 폴더에 대한 액세스 권한을 받았지만 권한이 거부되었습니다. .
올바른 토큰을 최신 상태로 유지할 수 있는지 확인하기 위해 연결 중인 컴퓨터에서 확인된 Kerbtray, Klist 및 Tokensz 리소스를 사용하고 있지만 다음 소품이 도움이 되지 않을 것 같습니다. . 나는 지금 거기 있을 것이다.
Daniel,
고객이 일반적으로 테스트하는 폴더가 해당 그룹이 아닌 소스 도메인의 사용자가 할 수 있는 권한으로 직접 액세스 권한을 부여하는지 확인하십시오. 마지막으로 언급한 특정 작업을
수행하는 경우 먼저 개선 그룹(sIDHistory 포함)이 있어야 합니다.
먼저 …
연구실에서 AD ’03 마이그레이션을 하려고 하는데 SID 유산이 아이가 생각하는 대로 작동한다는 것을 의미하지 않는 과정에서 또 다른 문제에 부딪쳤습니다.
내 w2k3 디자인에 두 개의 이혼 포리스트/도메인이 있습니다. 전체 포리스트 크기 신뢰는 SID 문서가 활성화되고
검역이 비활성화된 상태로 존재합니다(Netdom < …>을 통해 / EnableSIDHistory 신뢰: yes as / 검역: no). SID 기록이 있는 Quest QMM을 통해 마이그레이션한 사용자가 있습니다. ADSIEDIT를 사용하여 기본
을 확인하면 원본 도메인의
objectSID가 이 사용자의 대상 도메인에 있는 집중된 sIDHistory의 항목인 것을 알 수 있습니다.
승인됨: Fortect
Fortect은 세계에서 가장 인기 있고 효과적인 PC 수리 도구입니다. 수백만 명의 사람들이 시스템을 빠르고 원활하며 오류 없이 실행하도록 신뢰합니다. 간단한 사용자 인터페이스와 강력한 검색 엔진을 갖춘 Fortect은 시스템 불안정 및 보안 문제부터 메모리 관리 및 성능 병목 현상에 이르기까지 광범위한 Windows 문제를 빠르게 찾아 수정합니다.
SID 히스토리가 제대로 작동하는지 확인하기 위해 간단한 검사를 하고 있습니다. 나는 변환된 사용자, 그 사용자가 모든 사람에게 속한 집단, n ‘정말 누가 되든 등을 허용하는 소량의
폴더가 있는 소스 코드로 웹사이트에서 워크스테이션에 Speak를 만들었습니다. 그런 다음 로그인합니다. 대상 도메인 내부에 있는
워크스테이션에서 좋은 사용자로 특정 공유 폴더
액세스를 시도합니다.
SID 기록에서 원래 도메인의 사용자를 원하면 기본적으로
디렉터리에 액세스할 수 있을 것으로 예상했습니다. 그러나 그것은 나를 위해 작동하지 않았습니다. 금지된 오류에 액세스하고 있습니다.
추가
사용자를 직접 메인 파일로 이동하면 액세스할 수 있습니다.
폴더가 있는 일부 특정 워크스테이션에서 NT AUTHORITY ANONYMOUS
LOGON, Event ID: 폴더에 액세스하려고 하면 거의 모든 540이 표시되고 권한이 거부됩니다.
네트워크 연결 성공:
사용자 이름:
도메인:
연결 ID: (0x0,0x196CBC)
연결 유형 nia: 3
연결 프로세스: NtLmSsp
인증 패키지: NTLM
워크스테이션 이름: DANIEL-PC
등록 GUID: 00000000-0000-0000-0000-000000000000
올바른 토큰이 있는지 확인하기 위해 로그인하는 컴퓨터의 Tokensz 프로그램 외에 kerbtray, klist를 테스트했지만 이 시점에서 이러한 도구가 도움이 될 것이라고 생각하지 않습니다.
답장을 보내 주셔서 감사합니다.
및 이 특정 웹사이트 도메인에 직접 액세스하도록 승인된 디렉토리에 액세스하려고 할 때 사용이 거부됩니다.
Marcin
Daniel,
Experience 폴더의 권한이 클러스터가 아닌 양식의 도메인을 통한 사용자 계정 액세스를 허용하는지 확인하십시오. 후자를 수행하는 경우 즉시 마이그레이션 그룹(강아지의 sIDHistory 포함)으로 이동해야 합니다.
first … hth
Marcin
안녕하세요,
AD Migration 2004를 연구실 작업과 SID 이야기가 작동하지 않고 예상대로 작동하는 데 문제가 있습니다.
두 개의 별도 w2k3 숲/필드가 있습니다. SID 기록이 활성화되고 격리가
무능한 완전한 복구 신뢰가 있습니다(각 EnableSIDHistory에 대해 <†¦>를 기반으로 하는 netdom을 통해: 예 및 / 격리: 아니요). 내 사용자는 SID 기록이 있는 Quest QMM으로 이동했습니다. ADSIEDIT를 통해
을 확인하여 이 사용자가 단순히
이기 때문에 소스 도메인
의 objectSID가 대상 도메인에 대한 sIDHistory 속성의 액세스와 일치하는지 식별할 수 있습니까?
Sid의 이야기가 바쁜지 확인하기 위해 이 간단한 테스트를 시도하고 있습니다. 여러 폴더가 있는 전체 원본 도메인이 있는 워크스테이션에 공유를 설정했습니다.
마이그레이션된 사용자, 사용자 가족 구성원
, ALL, 모든 사람 등에 대해 도움이 되도록 승인되었습니다. 이제 시간입니다. 드림 도메인의 워크스테이션
에 연결하거나
표시된 폴더에 액세스하려고 합니다.
SID 경험을 통해 정확한 소스 도메인에서 발견된 허용된 사용자의 폴더 탐색을 시작하기 위해 내부에 있을 것으로 예상합니다. 그러나 그것은 나를 위해 작동하지 않았습니다. 아침에 “사용 금지” 오류가 발생합니다.
추가
폴더로 가입자를 직접 이동하면 액세스할 수 있습니다.
파일이 있는 워크스테이션에 NT AUTHORITY ANONYMOUS
LOGON, 이벤트 ID: 540이 표시됩니다. 최적의 디렉토리에 액세스하려고 하면 한 번 해결되지 않습니다.
.
로그인 ID: (0x0,0x196CBC)
로그인 유형: 5
로그인 프로세스: NtLmSsp
인증 패키지: NTLM
워크스테이션 사용자 이름: DANIEL-PC
로그인 GUID: 00000000-0000- 0000-0000-000000000000
내 PC에서 tokensz 유틸리티 회사 외에 kerbtray, klist를 시도했습니다.
로그인하여 올바른 토큰을 표시하고 있는지 분명히 확인하십시오. 그러나 지금은 이러한 도구가 사용에 도움이 될 것이라고 생각하지 않습니다.
모든 아이디어와 문제 해결 단계는 대단히 감사합니다.
감사합니다. Daniel S.
Daniel S.의 메시지
회신에 감사드립니다.
원래 도메인에서 우리 사용자에게 즉시
권한이 있는 폴더에 액세스하는 동안 액세스하고 있습니다.
/ 위 링크에서 인용:
—
클라이언트 웹사이트의 이 문제를 방금 수정했습니다. “문서화되지 않음”
Windows 2003 포리스트에서 ADMT를 사용할 때의 요구 사항입니다.
EnableSIDHistory 아웃바운드 포리스트 트러스트에만 유효합니다. yes
를 지정하면 다른 포리스트에서 제공한 신뢰할 수 있는 포리스트 백 SID로 마이그레이션한 사용자가 해당 포리스트의 리소스에 액세스할 수 있습니다. 이 작업은 신뢰할 수 있는 각 Hardwoods 관리자가 고유한 사용자의 특성을 기반으로 실제 과거 SID에서 이 포리스트의 SID를 지정하는 데 도움을 줄 수 있을 정도로 신뢰할 수 있는 경우에만 수행해야 합니다.
“아니요”를 지정하면 신뢰할 수 있는 포리스트로 전송된 사용자를 명확하게 비활성화하고,
해당 포리스트를 수행하는 리소스에 액세스하기 위해 SID 점수를 유도합니다.
/ EnableSIDHistory를 놓지 않거나 yes, no, 트렌디한 상태를 표시합니다.
– 예를 들어
/ endquote
–
엉덩이
이것은 다른 보증이 없는 단일 “있는 그대로” 발행물이지만
은 어떠한 권리도 부여하지 않습니다.
응답하고 다른 사람들이 귀하의 솔루션에서 보너스를 받을 수 있도록 도와주는 엔지니어의 협업을 위해 토론 그룹 또는 포럼에서 찾은 전화에 응답하십시오.
에이스 페차이, MCT, MCTS 익스체인지,
지금 이 간단한 다운로드로 컴퓨터 성능을 높이십시오. 년
년
