客户端机器经常从域里面掉出来的问题解决之方法

通常是以下几个问题会造成这样的情况

1. 网线接触不良。九成是网线问题。用PING 服务器的命令看一下网络是否接通。如果没有,请用测线仪测网线。还是无法解决的话,换一下
交换机接口,还无法解决?换交换机吧

2.一定是用GHOST做的机器,然后没有运行NEWSID更换SID,所以会造成多台同SID的机器在域内引起脱域 .
3.如果一台域中机器长时间不用帐户登陆,而策略中又有30天不登陆自动退域的设置就会出现脱域情况.

还有一种可能,是机器的时间和域控制器的时间相差超过五分钟,也会造成无法登陆到域的

通常是以下几个问题会造成这样的情况

1. 网线接触不良。九成是网线问题。用PING 服务器的命令看一下网络是否接通。如果没有,请用测线仪测网线。还是无法解决的话,换一下
交换机接口,还无法解决?换交换机吧

2.一定是用GHOST做的机器,然后没有运行NEWSID更换SID,所以会造成多台同SID的机器在域内引起脱域 .
3.如果一台域中机器长时间不用帐户登陆,而策略中又有30天不登陆自动退域的设置就会出现脱域情况.

还有一种可能,是机器的时间和域控制器的时间相差超过五分钟,也会造成无法登陆到域的

 

2问题的SID 或许很多人不明白,其实我也不是非常的明白(一起学习吧)

SID是什

文章来自活动目seo http://gnaw0725.blogbus.com/c1404552/

SID 是什么意思?好像接触活动目录activedirectory的朋友,很少有人问什么是sidsid是什么意思?其实活动目录中经常遇到的ghost克隆问题,双系统加入域老是会有一个自动退出域,等等问题都与sid有关。此外还有很多朋友关心如何查看sid,修改sid?《SID是什么》这篇文章就为大家解释一下SID的问题。

SID是什么意思
对于那些一看到缩写词脑子就会一片空白的人来说(这里可没有责怪您的意思),SID 只是安全标识符的缩写而已。SID 的全称是安全标识符(Security Identify,是为域或本地计算机中创建的每个帐户分配的唯一 ID 字符串(例如,S-1-5-21-1454471165-1004336348-1606980848-5555)。

活动目录seo提示:active directory活动目录域中每一个对象也有一个唯一标识,成为GUIDGUIDSID + RID 。活动目录中专门有一个操作主机角色叫RID,就是为域中的每个对象分配一个RID号。最终GUID在所有域,乃至全世界都是唯一的。

这里提到的账户包括用户账户和计算机账户。其中计算机账户为了更高级别的安全性要求,会与一些计算机硬件信息相关联。文章开头提到的两个SID的问题,是由于活动目录数据库已经不再信任计算机账户,认为这个计算机账户是不安全的,所谓的安全通道 security channel被破坏。关于这个问题的详细解释可以参考

实际上,计算机使用 SID 来跟踪每个帐户: 如果重命名管理员帐户,计算机仍然知道哪个帐户是管理员帐户。 这是因为 SID 不同于名称,它永远不会更改。

就我们所讨论的问题而言,记住 SID 是操作系统跟踪帐户使用的一种方法就行了。例如,您可以重命名计算机上的 Administrator 帐户,并且仍将该帐户用作管理员,这是因为 Windows 真正关心的并不是名称是什么;Windows 仍然知道该帐户是 Administrator 帐户,因为无论帐户名称如何变化,SID 保持不变。这就像您的社会安全号码一样(假定他人没有盗用您的身份信息),无论您的名字如何变化,它都可唯一地标识您的身份。

在大多数情况下,您不必担心 SID 问题,这对您是有好处的:显然,使用帐户名(如 kenmyer)要比使用 SID(如 S-1-5-21-1454471165-1004336348-1606980848-5555)容易一些。然而,在某些情况下,了解 SID 对应于哪个用户帐户是很有用的。例如,WMI 的安全类依赖于 SID;类似地,Windows 注册表根据 SID 而不是根据名称来跟踪用户配置文件(请查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList,就会明白我们的意思了)。也许,您不需要知道用户的 SID ,但是,如果恰巧碰到了呢。

如何查看 SID
SID 的功能听起来还相当不错,除了以下一点: 如果 SID 是唯一的标识符,那么我们如何才能确定哪个 SID 代表管理员帐户?这是众所周知的部分传入的位置。在计算机上,本地管理员的 SID 将始终以 S-1-5- 开始,以 -500 结束。 (这就是管理员 SID 及诸如 Guest 帐户的 SID 之类的其它 SID 被视为众所周知的原因。) 例如,您可能具有一个类似于下列内容的 SID

S-1-5-21-1559272821-92556266-1055285598-500

正如您所看到的那样,我们的 SID S-1-5- 开始,以 -500 结束。如果我们能够找到符合该模式的 SID,就找到了我们的本地管理员帐户。

那么如何查看sid呢?很简单,如果您想查看当前登陆账户的sid,那么在cmd 命令行下输入如下命令:
 whoami /logonid 查看当前登录账户的 sid
whoami /groups 查看当前用户名、属于的组以及安全标识符(SID) 和当前用户访问令牌的特权。

那如果想知道其他账户的sid呢?也很容易,将如下文字保存为 .vbs 后缀的文件,然后执行就可以了。
----不包含此行---
 strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")

Set objAccount = objWMIService.Get _
    ("Win32_UserAccount.Name='用户名',Domain='电脑名字或者是域名 '")
Wscript.Echo objAccount.SID
----不包含此行----

怎么修改 SID
NewSID.exe工具下载地址 http://download.sysinternals.com/Files/NewSid.zip
 许多组织使用磁盘映像克隆技术来大规模部署 Windows。此方法要求将完全安装和配置的 Windows 计算机的磁盘复制到其他计算机的磁盘驱动器。其他这些计算机似乎已经有效地完成了相同的安装过程,并且可以立即使用。

虽然此方法节省了数小时的工作量并且比其他部署方法有效,但是它存在一个严重问题,即每个克隆的系统都具有一个完全相同的计算机安全标识符 (SID)。这一因素会损害工作组环境的安全性,并且在具有多个相同计算机 SID 的网络中,还可能损害可移动媒体安全性。

来自 Windows 社区的要求已经促使多家公司开发可以在克隆系统后更改计算机的 SID 的程序。但是,Symantec SID Changer Symantec Ghost Walker 仅作为每家公司的高端产品出售。而且,它们都从 DOS 命令提示窗口中运行(Altiris 的更改器类似于 NewSID)。

NewSID 是我们开发的可更改计算机的 SID 的程序。它是一个免费的 Win32 程序,这意味着它可以容易地在以前克隆的系统上运行。NewSID 可在 Windows NT 4Windows 2000Windows XP Windows .NET Server 上运行。

NewSID 是我们开发的可用来更改计算机 SID 的程序。它首先为计算机生成一个随机的 SID,然后更新它在注册表和文件安全描述符中找到的现有计算机 SID 的实例,并用新 SID 替换旧SIDNewSID 要求使用管理权限运行。它有两个功能:更改 SID 和更改计算机名称。

要使用 NewSID 的自动运行选项,请在命令行中指定“/a”。您还可以通过在“/a”开关后面包含新名称来指示它自动更改计算机的名称。例如:

newsid /a [newname]

将使 NewSID 无提示运行,将计算机名称更改为“newname”,并且在一切正常的情况下重新启动计算机。

注意:如果要运行 NewSID 的系统正在运行 IISAdmin,则必须在运行 NewSID 之前停止 IISAdmin 服务。使用以下命令可停止 IISAdmin 服务:net stop iisadmin /y

NewSID SID 同步功能使您可以指定从另一台计算机获取新 SID 而不是随机生成 SID。使用此功能,可以将备份域控制 (BDC) 移动到一个新域,因为根据 BDC 与其他域控制器 (DC) 具有相同的计算机 SID,可以确定该 BDC 与某个域的关系。只需选择“Synchronize SID”按钮并输入目标计算机的名称。您必须具有更改目标计算机的注册表项的安全设置的权限,这通常意味着您必须以域管理员身份登录才能使用此功能。

请注意,当您运行 NewSID 时,注册表的大小将会增长,因此请确保注册表最大大小能够适应这一增长。我们已发现这一增长对系统性能没有明显影响。注册表增长的原因是:当 NewSID 应用临时安全设置时,注册表变零碎了。删除这些设置后,注册表不受影响。