客户端机器经常从域里面掉出来的问题解决之方法
客户端机器经常从域里面掉出来的问题解决之方法
通常是以下几个问题会造成这样的情况
1.
网线接触不良。九成是网线问题。用
PING
服务器的命令看一下网络是否接通。如果没有,请用测线仪测网线。还是无法解决的话,换一下
交换机接口,还无法解决?换交换机吧
交换机接口,还无法解决?换交换机吧
2.
一定是用
GHOST
做的机器
,
然后没有运行
NEWSID
更换
SID,
所以会造成多台同
SID
的机器在域内引起脱域
.
3. 如果一台域中机器长时间不用帐户登陆 , 而策略中又有 30 天不登陆自动退域的设置就会出现脱域情况 .
3. 如果一台域中机器长时间不用帐户登陆 , 而策略中又有 30 天不登陆自动退域的设置就会出现脱域情况 .
还有一种可能
,
是机器的时间和域控制器的时间相差超过五分钟
,
也会造成无法登陆到域的
通常是以下几个问题会造成这样的情况
1.
网线接触不良。九成是网线问题。用
PING
服务器的命令看一下网络是否接通。如果没有,请用测线仪测网线。还是无法解决的话,换一下
交换机接口,还无法解决?换交换机吧
交换机接口,还无法解决?换交换机吧
2.
一定是用
GHOST
做的机器
,
然后没有运行
NEWSID
更换
SID,
所以会造成多台同
SID
的机器在域内引起脱域
.
3. 如果一台域中机器长时间不用帐户登陆 , 而策略中又有 30 天不登陆自动退域的设置就会出现脱域情况 .
3. 如果一台域中机器长时间不用帐户登陆 , 而策略中又有 30 天不登陆自动退域的设置就会出现脱域情况 .
还有一种可能
,
是机器的时间和域控制器的时间相差超过五分钟
,
也会造成无法登陆到域的
2
问题的SID 或许很多人不明白,其实我也不是非常的明白(一起学习吧)
SID是什么
文章来自活动目录seo
http://gnaw0725.blogbus.com/c1404552/
SID
是什么意思?好像接触活动目录
activedirectory
的朋友,很少有人问什么是
sid
,
sid
是什么意思?其实活动目录中经常遇到的
ghost
克隆问题,双系统加入域老是会有一个自动退出域,等等问题都与
sid
有关。此外还有很多朋友关心如何查看
sid
,修改
sid
?《
SID
是什么》这篇文章就为大家解释一下
SID
的问题。
SID
是什么意思
对于那些一看到缩写词脑子就会一片空白的人来说(这里可没有责怪您的意思), SID 只是安全标识符的缩写而已。 SID 的全称是 “ 安全标识符( Security Identify ) ” ,是为域或本地计算机中创建的每个帐户分配的唯一 ID 字符串(例如, S-1-5-21-1454471165-1004336348-1606980848-5555 )。
对于那些一看到缩写词脑子就会一片空白的人来说(这里可没有责怪您的意思), SID 只是安全标识符的缩写而已。 SID 的全称是 “ 安全标识符( Security Identify ) ” ,是为域或本地计算机中创建的每个帐户分配的唯一 ID 字符串(例如, S-1-5-21-1454471165-1004336348-1606980848-5555 )。
活动目录
seo
提示:active directory活动目录域中每一个对象也有一个唯一标识,成为
GUID
。
GUID
=
SID + RID
。活动目录中专门有一个操作主机角色叫
RID
,就是为域中的每个对象分配一个
RID
号。最终
GUID
在所有域,乃至全世界都是唯一的。
这里提到的账户包括用户账户和计算机账户。其中计算机账户为了更高级别的安全性要求,会与一些计算机硬件信息相关联。文章开头提到的两个
SID
的问题,是由于活动目录数据库已经不再信任计算机账户,认为这个计算机账户是不安全的,所谓的安全通道
security channel
被破坏。关于这个问题的详细解释可以参考
实际上,计算机使用
SID
来跟踪每个帐户:
如果重命名管理员帐户,计算机仍然知道哪个帐户是管理员帐户。
这是因为
SID
不同于名称,它永远不会更改。
就我们所讨论的问题而言,记住
SID
是操作系统跟踪帐户使用的一种方法就行了。例如,您可以重命名计算机上的
Administrator
帐户,并且仍将该帐户用作管理员,这是因为
Windows
真正关心的并不是名称是什么;
Windows
仍然知道该帐户是
Administrator
帐户,因为无论帐户名称如何变化,
SID
保持不变。这就像您的社会安全号码一样(假定他人没有盗用您的身份信息),无论您的名字如何变化,它都可唯一地标识您的身份。
在大多数情况下,您不必担心
SID
问题,这对您是有好处的:显然,使用帐户名(如
kenmyer
)要比使用
SID
(如
S-1-5-21-1454471165-1004336348-1606980848-5555
)容易一些。然而,在某些情况下,了解
SID
对应于哪个用户帐户是很有用的。例如,
WMI
的安全类依赖于
SID
;类似地,
Windows
注册表根据
SID
而不是根据名称来跟踪用户配置文件(请查看
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
,就会明白我们的意思了)。也许,您不需要知道用户的
SID
,但是,如果恰巧碰到了呢。
如何查看
SID
SID 的功能听起来还相当不错,除了以下一点: 如果 SID 是唯一的标识符,那么我们如何才能确定哪个 SID 代表管理员帐户?这是 “ 众所周知 ” 的部分传入的位置。在计算机上,本地管理员的 SID 将始终以 S-1-5- 开始,以 -500 结束。 (这就是管理员 SID 及诸如 Guest 帐户的 SID 之类的其它 SID 被视为众所周知的原因。) 例如,您可能具有一个类似于下列内容的 SID :
SID 的功能听起来还相当不错,除了以下一点: 如果 SID 是唯一的标识符,那么我们如何才能确定哪个 SID 代表管理员帐户?这是 “ 众所周知 ” 的部分传入的位置。在计算机上,本地管理员的 SID 将始终以 S-1-5- 开始,以 -500 结束。 (这就是管理员 SID 及诸如 Guest 帐户的 SID 之类的其它 SID 被视为众所周知的原因。) 例如,您可能具有一个类似于下列内容的 SID :
S-1-5-21-1559272821-92556266-1055285598-500
正如您所看到的那样,我们的
SID
以
S-1-5-
开始,以
-500
结束。如果我们能够找到符合该模式的
SID
,就找到了我们的本地管理员帐户。
那么如何查看
sid
呢?很简单,如果您想查看当前登陆账户的
sid
,那么在
cmd
命令行下输入如下命令:
whoami /logonid 查看当前登录账户的 sid
whoami /groups 查看当前用户名、属于的组以及安全标识符 (SID) 和当前用户访问令牌的特权。
whoami /logonid 查看当前登录账户的 sid
whoami /groups 查看当前用户名、属于的组以及安全标识符 (SID) 和当前用户访问令牌的特权。
那如果想知道其他账户的
sid
呢?也很容易,将如下文字保存为
.vbs
后缀的文件,然后执行就可以了。
----不包含此行---
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objAccount = objWMIService.Get _
("Win32_UserAccount.Name=' 用户名 ',Domain=' 电脑名字或者是域名 '")
Wscript.Echo objAccount.SID
----不包含此行----
----不包含此行---
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objAccount = objWMIService.Get _
("Win32_UserAccount.Name=' 用户名 ',Domain=' 电脑名字或者是域名 '")
Wscript.Echo objAccount.SID
----不包含此行----
怎么修改
SID
NewSID.exe 工具下载地址 http://download.sysinternals.com/Files/NewSid.zip
许多组织使用磁盘映像克隆技术来大规模部署 Windows 。此方法要求将完全安装和配置的 Windows 计算机的磁盘复制到其他计算机的磁盘驱动器。其他这些计算机似乎已经有效地完成了相同的安装过程,并且可以立即使用。
NewSID.exe 工具下载地址 http://download.sysinternals.com/Files/NewSid.zip
许多组织使用磁盘映像克隆技术来大规模部署 Windows 。此方法要求将完全安装和配置的 Windows 计算机的磁盘复制到其他计算机的磁盘驱动器。其他这些计算机似乎已经有效地完成了相同的安装过程,并且可以立即使用。
虽然此方法节省了数小时的工作量并且比其他部署方法有效,但是它存在一个严重问题,即每个克隆的系统都具有一个完全相同的计算机安全标识符
(SID)
。这一因素会损害工作组环境的安全性,并且在具有多个相同计算机
SID
的网络中,还可能损害可移动媒体安全性。
来自
Windows
社区的要求已经促使多家公司开发可以在克隆系统后更改计算机的
SID
的程序。但是,
Symantec
的
SID Changer
和
Symantec
的
Ghost Walker
仅作为每家公司的高端产品出售。而且,它们都从
DOS
命令提示窗口中运行(
Altiris
的更改器类似于
NewSID
)。
NewSID
是我们开发的可更改计算机的
SID
的程序。它是一个免费的
Win32
程序,这意味着它可以容易地在以前克隆的系统上运行。
NewSID
可在
Windows NT 4
、
Windows 2000
、
Windows XP
和
Windows .NET Server
上运行。
NewSID
是我们开发的可用来更改计算机
SID
的程序。它首先为计算机生成一个随机的
SID
,然后更新它在注册表和文件安全描述符中找到的现有计算机
SID
的实例,并用新
SID
替换旧
SID
。
NewSID
要求使用管理权限运行。它有两个功能:更改
SID
和更改计算机名称。
要使用
NewSID
的自动运行选项,请在命令行中指定
“/a”
。您还可以通过在
“/a”
开关后面包含新名称来指示它自动更改计算机的名称。例如:
newsid /a [newname]
将使
NewSID
无提示运行,将计算机名称更改为
“newname”
,并且在一切正常的情况下重新启动计算机。
注意:如果要运行
NewSID
的系统正在运行
IISAdmin
,则必须在运行
NewSID
之前停止
IISAdmin
服务。使用以下命令可停止
IISAdmin
服务:
net stop iisadmin /y
NewSID
的
SID
同步功能使您可以指定从另一台计算机获取新
SID
而不是随机生成
SID
。使用此功能,可以将备份域控制器
(BDC)
移动到一个新域,因为根据
BDC
与其他域控制器
(DC)
具有相同的计算机
SID
,可以确定该
BDC
与某个域的关系。只需选择
“Synchronize SID”
按钮并输入目标计算机的名称。您必须具有更改目标计算机的注册表项的安全设置的权限,这通常意味着您必须以域管理员身份登录才能使用此功能。
请注意,当您运行
NewSID
时,注册表的大小将会增长,因此请确保注册表最大大小能够适应这一增长。我们已发现这一增长对系统性能没有明显影响。注册表增长的原因是:当
NewSID
应用临时安全设置时,注册表变零碎了。删除这些设置后,注册表不受影响。