W ciągu ostatniego tygodnia niektórzy z naszych użytkowników napotkali już błąd odmowy dostępu do historii SID. Ten problem może powstać w przypadku kilku potrzeb. Rzućmy okiem poniżej.
Obecnie próbuję przeprowadzić migrację laboratorium AD 2003 i napotkałem problem, ponieważ historia SID nie działa, ponieważ spodziewam się, że ten pomysł zadziała.
Wyświetlam dwa oddzielne lasy/domeny w2k3 w trybie oryginalnym. Istnieje pełne zaufanie lasu z włączoną historią identyfikatorów SID i wyłączoną kwarantanną (poprzez Netdom Trust <…> / EnableSIDHistory: yes while / Quarantine: no). Mam użytkownika przekształconego przez Quest QMM z historią SID. Gdy sprawdzam podmiot za pomocą ADSIEDIT, przechodzę do tego, że identyfikator obiektu w adresie URL witryny zakupu odpowiada wpisowi w atrybucie sIDHistory w domenie docelowej dla tego użytkownika.
Aby sprawdzić, czy cała strona artykułu zaczęła działać, wypróbuję specjalny prosty test. Utworzyłem udział za pośrednictwem stacji roboczej w tej oryginalnej domenie, biorąc pod uwagę pewne segregatory należące do migrowanego właściciela, grupę, do której należy użytkownik, więc WSZYSCY, nikt itp. W tym przypadku użytkownik loguje się do pracy w nowej domenie docelowej i próbuje coś zrobić, aby uzyskać dostęp do najważniejszych folderów.
Spodziewałem się, że urosnę, aby móc uzyskać dostęp do folderu poprzez historię SID, która została dozwolona określonemu konsumentowi w oryginalnej domenie. Jednak to nie było dla mnie skuteczne. Mam dostęp do zbanowanego błędu. Jeśli Dodaj Przeniosłem użytkownika bezpośrednio do folderu, mam dostęp do tej metody.
Na określonej stacji roboczej z folderami widzę NT AUTHORITY ANONYMOUS LOGON, identyfikator zdarzenia: wszystkie 540 z powrotem, gdy otrzymam dostęp do pliku i zostałem odmówiono pozwolenia.
Zawsze korzystałem ze zweryfikowanych programów Kerbtray, Klist i Tokensz na komputerze, w którym się podłączam, aby
sprawdzić, czy mogę wyświetlić nasz poprawny token, ale nie sądzę, aby te elementy być pomocnym. Będę tam.
Daniel, upewnij się, że folder, który typowo testujesz, zapewnia bezpośredni dostęp z uprawnieniami konkretnemu użytkownikowi w domenie źródłowej, a nie kolekcji. Jeśli wykonujesz
wspomnianą pracę, najpierw musisz mieć progresywną jednostkę rodzinną (z jej sIDHistory) najpierw …
Próbuję przeprowadzić migrację AD 03 w laboratorium i natknąłem się na problem w procesie, w którym historia SID nie oznacza, że działa, jak zakładam, że obecnie dziecko będzie.
Mam dwa oddzielne zalesione akry / domeny w moim własnym stylu w2k3. Istnieje zaufanie pełnego rozmiaru lasu z obsługą historii identyfikatorów SID i wyłączoną kwarantanną (przez Netdom < …> na zaufanie EnableSIDHistory: tak jako / Kwarantanna: nie). Mam użytkownika migrowanego przez Quest QMM z powodu historii SID. Sprawdzając główny za pomocą ADSIEDIT, widzę, że
objectSID podobny do domeny źródłowej jest dokładnie taki sam, jak wpis w dedykowanej sIDHistory w domenie docelowej dla tego użytkownika.
Fortect to najpopularniejsze i najskuteczniejsze narzędzie do naprawy komputerów na świecie. Miliony ludzi ufają, że ich systemy działają szybko, płynnie i bez błędów. Dzięki prostemu interfejsowi użytkownika i potężnemu silnikowi skanowania, Fortect szybko znajduje i naprawia szeroki zakres problemów z systemem Windows - od niestabilności systemu i problemów z bezpieczeństwem po zarządzanie pamięcią i wąskie gardła wydajności.
1. Pobierz Fortect i zainstaluj na swoim komputerze
2. Uruchom program i kliknij „Skanuj”
3. Kliknij „Napraw”, aby naprawić znalezione problemy
Aby sprawdzić, czy historia sid ćwiczy, pracuję nad prostym testem. Utworzyłem Speak na stacji roboczej za pośrednictwem absolutnej strony internetowej w kodzie źródłowym z kilkoma ringbinderami, które umożliwiają konwertowanemu użytkownikowi, którego grupa należy do KAŻDEGO, bez względu na to, jakie osoby, itp. Następnie loguję się jako mężczyzna lub kobieta na stacji roboczej w domenie docelowej i spróbuj uzyskać dostęp do zużytych folderów .
Spodziewałem się, że w idealnym przypadku będę mógł uzyskać dostęp do folderu, którym zwykle jest
, jeśli chcesz uzyskać informacje o oryginalnej domenie z reputacji SID. Jednak to nie zadziałało dla mnie. Mam rano dostęp do zakazanego błędu. Jeśli Dodaj przeniosłem użytkownika bezpośrednio do folderu, mam do niego dostęp.
Na wybranej stacji roboczej z folderami widzę UPRAWNIENIA NT ANONIMOWE LOGON, Identyfikator zdarzenia: wszystkie 540, w których próbuję uzyskać dostęp do folderu, a autoryzacja jest odmowa.
Połączenie sieciowe powiodło się: Nazwa użytkownika: Domena: Identyfikator połączenia: (0x0,0x196CBC) Typ połączenia nia: 3 Proces połączenia: NtLmSsp Pakiet uwierzytelniający: NTLM Nazwa stacji roboczej: DANIEL-PC Identyfikator GUID rejestracji: 00000000-0000-0000-0000-000000000000
Przetestowałem Kerbtray, klist i narzędzia Tokensz na górze komputera, z którego się loguję, aby zobaczyć, załóżmy, że mam poprawny token, ale nigdy nie pomyślę, że te narzędzia mi tu pomogą.
Dzięki za odpowiedź.
Powiedziano mi, że używam podczas próby uzyskania dostępu do
i katalogu autoryzowanego do bezpośredniego dostępu do domeny strony internetowej.
Wiadomość od Marcina Daniela, Upewnij się, że uprawnienia katalogu testowego pozwalają na dostęp do konta użytkownika w domenie formularza, a nie przez grupę. Jeśli zrobisz to drugie, zdecydowanie powinieneś przejść do grupy migracji (z twoją sIDHistory psów) najpierw … hth Marcin Witaj, Wypróbuję AD Migration ’04 w pracy laboratoryjnej i historii SID już nie działa, problemy działają zgodnie z oczekiwaniami . Mam dwa oddzielne lasy/domeny w2k3 powiązane z moimi własnymi. Istnieje pełne myślenie o lesie z włączoną historią SID i nieudolną kwarantanną (poprzez netdom w oparciu o <â € ¦> / EnableSIDHistory: tak i / Kwarantanna: nie). Mój klient poszedł do Quest QMM z historią SID. Sprawdzając przez ADSIEDIT, czy mogę wykryć, dlaczego objectSID w domenie źródłowej walczy z dostępem w atrybucie sIDHistory w domenie docelowej, ponieważ ten użytkownik jest . Aby sprawdzić, czy historia Sida działa, próbuję tego prostego testu. Utworzyłem odpowiedni udział na stacji roboczej z całą domeną oem z wieloma folderami, upoważnionymi do udostępnienia Cię dla migrowanego użytkownika, dla miejsca zamieszkania użytkownika, WSZYSTKICH, dla wszystkich, itd. Następnie osobiście łączę się ze stacją roboczą w docelowym adresie URL i/lub próba uzyskania dostępu do udostępnionych wersji . Spodziewam się, że będę mógł pomyślnie rozpocząć przeglądanie folderu użytkownika dozwolonego we wszystkich domenach źródłowych w historii SID. Jednak to nie zadziałało dla mnie. Wybieram błąd „Używanie jest zabronione”. Jeśli Dodaj Przeniosłem subskrybenta bezpośrednio do folderu ones, mam do niego dostęp. Na konkretnej stacji roboczej z plikami widzę ZARZĄDZANIE NT ANONIMOWY LOGON, identyfikator zdarzenia: 540, przy każdej okazji próbuję uzyskać dostęp do najlepszego folderu, a ponadto jednorazowo odmówiono mi rozwiązania . Identyfikator logowania: (0x0,0x196CBC) Typ logowania: trzy Proces logowania: NtLmSsp Pakiet uwierzytelniający: NTLM Nazwa użytkownika stacji roboczej: DANIEL-PC Login GUID: 00000000-0000- 0000-0000-000000000000 Doświadczyłem kerbtray, klist i narzędzi tokensz na moim komputerze. Zaloguj się, aby sprawdzić, czy pokazuję właściwy token, ale nie wydaje mi się, aby żadne z tych narzędzi mi nie pomogło. Wszelkie pomysły i sposoby rozwiązywania problemów są mile widziane. Pozdrawiam, Daniel S.
Wiadomość od Daniela S. Dziękuję za odpowiedź. Uzyskuję dostęp, gdy odmówiono mi dostępu do folderu z uprawnieniami bezpośrednio na rynku do naszego użytkownika z oryginalnej domeny.
lub cytat z powyższego linku: — Właśnie naprawiłem ten problem w rzeczywistej witrynie klienta. “Nieudokumentowane” Wymaganie w przypadku korzystania z narzędzia ADMT w lesie systemu Windows 2003.
/ EnableSIDHistory Ważne tylko dla wychodzących relacji zaufania lasu. Określenie naturalnego umożliwia użytkownikom, którzy przeprowadzili migrację z innego lasu do zaufanego identyfikatora SID lasu w tle, na dostęp do zasobów w tym lesie. Należy to prawdopodobnie zrobić tylko w przypadku, gdy zaufanym administratorom Hardwoods można ufać na tyle, aby określić identyfikator SID dla tego lasu w identyfikatorach SID stanu w oparciu o atrybuty użytkowników komputerów. Określenie „Nie” spowoduje jednoznaczne wyłączenie użytkowników, które osoby są przesyłane do zaufanego lasu, uzyskanie wyniku SID umożliwiającego dostęp do zasobów w lesie. Jeśli nie powiesz / EnableSIDHistory lub tak, nie, zostanie wyświetlona najnowsza dobra reputacja. – – na koniec cytatu – Ass
Jest to publikacja „TAK JAK JEST” bez żadnych innych gwarancji i nie udziela żadnych praw.
Odpowiedz na wezwanie w mojej grupie dyskusyjnej lub forum współpracy między mężczyznami z wizją, którzy reagują i pomagają innym skorzystać z Twojego rozwiązania.
