Under den senaste veckan har några av våra medarbetare i dag stött på ett fel som nekar åtkomst att bifoga SID-historik. Detta problem kan uppstå av flera anledningar. Låt oss ta en titt nedan.
Godkänd: Fortect
SID-historik växlar inte
Jag försöker för närvarande att migrera AD 2004 i ett labb och har stött på en åkomma där SID-historiken inte fungerar på grund av att jag förväntar mig att den här idén kommer att fungera.
Jag har två separata w2k3-skogar/domäner senaste inbyggda läge. Det finns en full skog tror att med SID-historik aktiverad och karantän på annat sätt
(via Netdom Trust <…> / EnableSIDHistory: fördelaktig och / Karantän: nej). Jag har migrerat ett folk via Quest QMM med SID-historik. När jag kontrollerar
-principen genom ADSIEDIT ser jag att objectSID i domänen
som investerar i stämmer överens med posten i sIDHistory som är typisk för måldomänen för denna
-användare.
För att kontrollera om hela artikelnätsidan fungerar ska jag prova en speciell enkel kontroll. Jag skapade en resurs via en arbetsstation inuti den ursprungliga domänen, med hänsyn till exakta
-mappar som tillhör den migrerade ägaren, värden som användaren tillhör, så ALLA, ingen och. I det här fallet loggar användaren in på valfri arbetsstation
i den nya måldomänen och försöker också komma åt de viktigaste mapparna.
Jag förväntade mig att du kan komma åt mappen genom den viktigaste SID-historiken som tilläts
en korrekt användare i den ursprungliga domänen. Men det för att fungera för mig. Jag kommer åt ett kriminaliserat fel. Om
Lägg till
Jag flyttade vanligtvis användaren till mappen direkt, jag kan tillgängliggöra den.
På en arbetsstation med mappar ser jag NT AUTHORITY ANONYMOUS
LOGON, händelse-ID: praktiskt taget 540 när jag får åtkomst till vanligtvis mappen och jag nekades tillstånd.
Jag använder de verifierade Kerbtray-, Klist- och Tokensz-resurserna på datorn jag ansluter till
för att kontrollera om jag kan använda rätt token, men jag tror inte att några av dessa rekvisita kommer att vara till hjälp . Jag kommer att vara på den punkten.
Daniel,
se till att mappen du vanligtvis kan testa ger direktåtkomst med behörigheter för dig till användaren på källdomänen, inte var och en av våra grupper. Om du gör
varje sistnämnda måste du först ha en vidareutvecklingsgrupp (med dess sIDHistory)
först …
Jag försöker göra en AD ’03-migrering i ett labb och stötte på ett otroligt problem i processen där det förflutna SID inte betyder att det fungerar som jag tror att barnet kommer att göra.
Jag har två isolerade skogar/domäner i min egen w2k3-personlighet. Förtroende i full skogstorlek finns med SID-ursprung aktiverat och
-karantän inaktiverat (via Netdom < …> / EnableSIDHistory-förtroende: ja som / karantän: nej). Jag har migrerat en användare via Quest QMM med SID-historik. När jag kontrollerar huvud
från ADSIEDIT, kan jag se att
objectSID för källdomänen är på samma sätt som En post i den entusiastiska sIDHistory i måldomänen för denna användare.
Godkänd: Fortect
Fortect är världens mest populära och effektiva PC-reparationsverktyg. Det litar på miljontals människor för att hålla sina system igång snabbt, smidigt och felfritt. Med sitt enkla användargränssnitt och kraftfulla skanningsmotor hittar och fixar Fortect snabbt ett brett utbud av Windows-problem – från systeminstabilitet och säkerhetsproblem till minneshantering och prestandaflaskhalsar.
För att kontrollera om sidhistoriken fungerar normalt, arbetar jag på en enkel genomgång. Jag skapade en Speak på en arbetsstation slutresultat en webbplats i källkod med lite
-mappar som tillåter den konverterade användaren, cirkeln som användaren tillhör ALLA, n ‘ingen menar vem, etc. Sedan loggar jag in som någon användare på arbetsstationen
som tillhör måldomänen och försöker komma åt specifika delade mappar
.
Jag förväntade mig att ett antal I skulle kunna komma åt filen som är
om du vill ha en viktig användare på den ursprungliga domänen från SID-historiken. Det fungerade dock inte för mig. Jag kommer åt ett förbjudet fel. Om
Lägg till
Jag flyttade användaren direkt till vår fil kan jag komma åt den.
På den specifika arbetsstationen med mappar ser jag NT AUTHORITY ANONYMOUS
LOGON, Event ID: det enda 540 när jag försöker komma åt mappen och/eller tillstånd nekas.
Nätverksanslutning lyckad:
Användarnamn:
Domän:
Anslutnings-ID: (0x0,0x196CBC)
Anslutningstyp nia: 3
Anslutningsprocess: NtLmSsp
Autentiseringspaket: NTLM
Arbetsstationsnamn: DANIEL-PC
Registrerings-GUID: 00000000-0000-0000-0000-000000000000
Jag har försökt använda kerbtray, klist utöver Tokensz-programmen på datorn jag loggar in från för att konsultera om jag har rätt token, men jag tror inte att dessa verktyg kommer att hjälpa mig med detta.
Tack för ditt svar.
Jag kunde ha nekats användning när jag försökte få åtkomst till
för att hjälpa dig en katalog som är auktoriserad att direkt komma åt den här webbplatsdomänen.
Meddelande från Marcin
Daniel,
Se till att behörigheterna för utcheckningsmappen tillåter åtkomst till användarkontot för formulärets domän och inte via en familjeenhet. Om du gör det senare bör du verkligen gå till migrationsgruppen (med din hunds sIDHistory)
först … hth
Marcin
Hej,
Jag ska prova AD Migration 2004 i labbarbetet och SID-historiken fungerar inte, problem som fungerar som förväntat
.
Jag har två separata w2k3-skogar / egna internetdomännamn. Det finns ett fullt högt förtroende med SID-historik aktiverad och
-karantän som inte kan fungera bra (via netdom baserat på <†¦> EnableSIDHistory: ja och / karantän: nej). Min användare gick till Quest QMM med SID tidigare. Genom att kontrollera
via ADSIEDIT, kan jag ta reda på att objectSID i källplatsen
matchar åtkomsten i attributet sIDHistory medan måldomänen, eftersom denna användare kommer att vara
.
För att kontrollera om Sids berättelse håller på så provar jag detta enkla test. Jag tillverkade en resurs på en arbetsstation med alla typer av originaldomäner med flera mappar,
auktoriserade om du vill hjälpa dig för migrerad användare, för användarrelation
, ALLA, för alla, etc. Sedan tror jag att length anslut till arbetsstationen
i adressdomänen och/eller försöker komma åt gemensamma mappar
.
Jag förväntar mig att faktiskt kunna börja bläddra i användarens mapp som tillåts närvarande i den exakta källdomänen genom SID-kulturen. Det fungerade dock inte för mig. Jag får nu felet “Användning är förbjuden”. Om
Lägg till
Jag flyttade prenumeranten direkt och mappen kan jag komma åt den.
På en arbetsstation med filer ser jag NT AUTHORITY ANONYMOUS
LOGON, händelse-ID: 540, varenda gång jag försöker komma åt den bästa katalogen och jag nekas en gång lösning
.
Inloggnings-ID: (0x0,0x196CBC)
Inloggningstyp: mycket mer
Inloggningsprocess: NtLmSsp
Autentiseringspaket: NTLM
Arbetsstation Användarnamn: DANIEL-PC
> Login GUID: 00000000-0000- 0000-0000-000000000000
Jag provade kerbtray, klist förutom tokensz verktyg på min dator.
Logga in för att se som om jag visar rätt token, men jag kan inte tro att något av dessa verktyg kommer att hjälpa vår familj.
Alla idéer och felsökningssteg uppskattas drastiskt.
Hälsningar, Daniel S.
Meddelande från Daniel S.
Tack för ditt svar.
Jag har åtkomst medan jag avstod åtkomst till mappen med
-behörighet definitivt till vår användare från den ursprungliga domänen.
/ citat från länken ovan:
—
Jag åtgärdade precis det här problemet på en klientwebbplats. “Odokumenterad”
Krav vid drift av ADMT i en Windows 2003-skog.
och EnableSIDHistory Gäller endast för utgående skogstruster. Om du anger ja
får användare som har migrerat från en annan skog till SID:t för betrodd skogs
-certifiering att komma åt resurser i den skogen. Detta bör endast göras i händelse av att hela betrodda Hardwoods-administratörer kan lita på tillräckligt för att kunna specificera SID för denna skog i de huvudsakliga tidigare SID:n baserat på attributen för hans eller hennes egna användare.
Att specificera “Nej” kommer otvetydigt att inaktivera klienter som överförs till den betrodda skogen,
genererar användning av SID-poängen för att komma åt resurserna i den skogen.
Om du inte ställer in
/ EnableSIDHistory eller ja, nej, kommer den mest innovativa statusen att visas.
– 3 .
/ endquote
–
Ass
Detta är en användbar “I BEFINTLIGT SKICK” publikation utan några andra garantier, tillsammans med
ger inga rättigheter.
Svara på samtalet i diskussionsgruppen eller forumet för samarbete för ingenjörer som är lyhörda och hjälper andra att förbättra din lösning.
Ace Fecai, MCT, MCTS Exchange,
Snabba upp din dators prestanda nu med denna enkla nedladdning.
