За последнюю неделю некоторые, связанные с нашими пользователями, столкнулись с ошибкой, запрещающей вход для добавления истории SID. Эта проблема может возникнуть по нескольким причинам. Выполним поиск ниже.
В настоящее время я пытаюсь продвинуть AD 2003 в лаборатории и обнаружил проблему, при которой история SID определенно работает, потому что я ожидаю, что эта идея будет работать хорошо.
У меня есть два отдельных леса w2k3 – домены в основном режиме. Существует двойное доверие леса с включенной историей SID, не говоря уже о отключенном карантине (через Netdom Trust <…> для каждого EnableSIDHistory: да и / Quarantine: нет). Мне повезло с пользователем, мигрировавшим через Quest QMM с историей SID. Когда я проверяю принципала в ADSIEDIT, я вижу, что objectSID в этом конкретном покупаемом домене совпадает с записью, как правило, в атрибуте sIDHistory в целевом домене для вышеупомянутого пользователя.
Чтобы проверить, работает ли страница 100% истории, я попробую по-настоящему фантастический простой тест. Я создал общий ресурс через хорошую рабочую станцию в исходном домене, приняв в карту определенные папки, принадлежащие мигрировавшему специалисту, группе, к которой принадлежит пользователь, так что ВСЕ, никто и т. Д. В этом случае пользовательские дрова в рабочая станция в новом целевом домене и пытается получить доступ к самым основным папкам.
Я ожидал, что смогу получить доступ к файлу через историю SID, которая была предоставлена для конкретного пользователя в исходном домене. Однако у меня это не сработало. Я допускаю запрещенную ошибку. Если Добавить я переместил пользователя в папку напрямую, я могу получить к ней доступ.
На рабочей станции с папками я обнаруживаю NT AUTHORITY ANONYMOUS LOGON, идентификатор события: все 540, когда я получаю подключение к папке, и я был отказано в согласии.
Я использую проверенные ресурсы Kerbtray, Klist и Tokensz на компьютере, который, как мне кажется, подключаюсь к
, чтобы проверить, могу ли я отобразить правильный токен, но я не думаю, что эти реквизиты будут полезны. Я создан, чтобы быть там.
Даниэль, убедитесь, что обычно папка, которую вы обычно тестируете, предоставляет прямой доступ с помощью разрешений пользователю в исходной области, а не группе. Если вы вызываете
последнее из упомянутых, вы должны сначала получить группу прогрессии (с ее sIDHistory) невероятно первым …
Я пытаюсь выполнить мощную миграцию AD 2003 в лаборатории и столкнулся с проблемой в процессе, когда я бы сказал, что история SID не означает, что он работает, как я предполагаю, будет дочерний элемент.
Теперь у меня есть два отдельных леса / домена в моем собственном стиле w2k3. Доверие полного размера леса существует при использовании истории SID и оборудования в карантине (через Netdom < …> / EnableSIDHistory trust: да как и Карантин: нет). У меня есть пользователь, мигрировавший с помощью Quest QMM с историей SID. Проверяя серьезный с помощью ADSIEDIT, я вижу, что его
objectSID исходного домена совпадают с записью в любом выделенном sIDHistory в целевом домене для этого пользователя.
Fortect — самый популярный и эффективный в мире инструмент для ремонта ПК. Миллионы людей доверяют ему обеспечение быстрой, бесперебойной и безошибочной работы своих систем. Благодаря простому пользовательскому интерфейсу и мощному механизму сканирования Fortect быстро находит и устраняет широкий спектр проблем Windows — от нестабильности системы и проблем с безопасностью до проблем с управлением памятью и производительностью.
1. Загрузите Fortect и установите его на свой компьютер.
2. Запустите программу и нажмите "Сканировать"
3. Нажмите "Восстановить", чтобы устранить обнаруженные проблемы.
Чтобы проверить, работает ли эта история sid, я работаю над хорошим простым тестом. Я создал Speak на любой рабочей станции через веб-сайт в исходном коде в дополнение к некоторым папкам , которые позволяют преобразованному игроку, группе, которой пользователь принадлежит КАЖДОМУ, g ‘независимо от того, кому и т. Д. Затем я регистрирую местоположение в качестве пользователя на рабочей станции, которая обычно находится в целевом домене, и попробуйте получить доступ к общим папкам .
Я требовал, чтобы в идеале я мог иметь прямой доступ к папке, которая является
, если вы хотите, чтобы пользователь в исходном домене был взят из истории SID. Однако у меня это не сработало. Я получаю доступ к запрещенной ошибке. Если Добавить я без промедления переместил пользователя в файл, я могу получить к нему доступ.
На определенной рабочей станции с папками я распознаю NT AUTHORITY ANONYMOUS LOGON, идентификатор события: все 540, когда я пытаюсь получить доступ к определенной папке и мне отказывают в разрешении.
Сетевой диалог успешно: Имя пользователя: Домен: Идентификатор подключения: (0x0,0x196CBC) Тип подключения nia: 3 Процесс подключения: NtLmSsp Пакет аутентификации: NTLM Имя рабочей станции: DANIEL-PC GUID регистрации: 00000000-0000-0000-0000-000000000000
Я пробовал kerbtray, klist в дополнение к тем утилитам Tokensz на компьютере, на котором я вошел в систему, начиная с того, чтобы узнать, правильный ли у меня подарок, но я не думаю, что эти инструменты облегчат мне задачу.
Спасибо за ваш ответ.
Мне было отказано в использовании при попытке получить доступ
к каталогу, авторизованному для идеального доступа к домену веб-сайта.
Сообщение от Марцина Даниэля, Убедитесь, что разрешения в тестовой папке разрешают доступ к учетной записи нарушителя в домене формы, а не через группу. Если вы сделаете последнее, вам обязательно стоит обратиться в корпорацию по миграции (с sIDHistory вашей собаки) сначала … hth Marcin Здравствуйте, Я собираюсь нацелиться на AD Migration 2004 в лабораторных условиях, а также история SID не работает, проблемы работают как предполагалось . У меня есть два отдельных домена w2k3. Есть новое полное доверие леса с включенной историей SID или отключенным карантином (через netdom на основе <â € ¦> / EnableSIDHistory: yes и / Quarantine: no). Мой пользователь перешел в Quest QMM из истории SID. Проверяя через ADSIEDIT, я, скорее всего, обнаружу, что objectSID в текущем домене соответствует доступу во всех атрибутах sIDHistory в целевом домене, потому что этим покупателем является . Чтобы проверить, работают ли учетные записи Сида, я пробую эту простую игру. Я создал общий ресурс на рабочей станции из всего исходного домена с несколькими папками, подходящими, чтобы помочь вам для мигрировавшего пользователя, только для семьи пользователей , ВСЕ, для всех и т. Д. Затем я лично подключаюсь к рабочей станции < br> здесь в целевом домене и / или пытается получить доступ к общим папкам . Я ожидаю, что смогу начать просмотр каталога пользователя, разрешенного в точном исходном домене, через вашу историю SID. Однако у меня это не сработало. Я получаю сообщение об ошибке «Использование запрещено». Если Добавить я переместил полученное разрешение прямо в папку, я могу получить доступ к этой ситуации. На рабочей станции с файлами мне нравится NT AUTHORITY ANONYMOUS LOGON, идентификатор события: 540, каждый раз, когда я пытаюсь получить доступ к личной папке лучшего пользователя, мне отказывают в решении . Идентификатор входа: (0x0,0x196CBC) Тип входа: 3 Процесс входа: NtLmSsp Пакет аутентификации: NTLM Имя пользователя рабочей станции: DANIEL-PC Логин GUID: 00000000-0000- 0000-0000-000000000000 Я попробовал kerbtray, klist в дополнение к утилитам tokensz на моем компьютере. Войдите в систему, если вы хотите увидеть, правильный ли я показываю токен, однако я не думаю, что какой-либо из этих инструментов почти наверняка мне поможет. Любые идеи и поиск неисправностей лестницы приветствуются. С уважением, Дэниел С.
Сообщение от Дэниела С. Спасибо за ответ. Я открываю в то время как отказано в доступе к папке среди разрешений непосредственно нашему пользователю из основного домена.
/ цитата из гиперссылки выше: — Я только что исправил отдельную проблему на клиентском веб-сайте. “Недокументированный” Требование при использовании ADMT в Windows 2003 Timbers.
/ EnableSIDHistory Действительно только для исходящих трастов лесных угодий. Указание yes позволяет пользователям, которые наверняка перешли из другого леса в надежные материалы SID фона, получить доступ к ресурсам в каком лесу. Это следует делать только в том случае, если доверенным администраторам Hardwoods может быть предоставлено достаточно, чтобы указать SID для этого леса в прошлых SID на основе компонентов их пользователей. Указание «Нет», вероятно, однозначно отключит пользователей, которые переведены в известный лес, используя оценку SID для получения ресурсов в этом лесу. Если вы практикуетесь не указывать / EnableSIDHistory или да, просто нет, будет отображаться последний статус. – для / endquote – Ass
Это должна быть публикация “КАК ЕСТЬ” без каких-либо других расширенных гарантий, а не предоставляет никаких прав.
Ответьте на звонок в дискуссионной группе или на форуме, чтобы наладить сотрудничество между инженерами, которые быстро реагируют и помогают другим получить выгоду от вашего решения.
г.
