有关域环境下SID号的问题（续）

     我们在做活动目录的实验的时候，为了能够快速的构建出多台虚拟机，都会采用类似于克隆的手段，或者直接复制虚拟机的磁盘文件。但是，这样产生出来的多个虚拟机系统的SID号是相同的，然后我们又会使用NewSID这个工具（也是sysinternals出品的）去更改SID号。课堂上我们也是这么讲的，网上很多的资料也是这么说的，但其实在某种情况下用不着去更改SID，这种情况就是这些克隆出来的虚拟机将来都要拿来做域控制器。为什么呢，往下看…
      每个域都有一个唯一的SID，这个SID来源于这个域的第一台DC，使用psgetsid这个工具在后面跟上域名可以查看到域的SID，如下图:

 
如果想要查看某个计算机的SID，使用方法： psgetsid   \\计算机名  ，如下图：
 

图中的Server1是我的域a.com的第一台DC，说明域的SID和域的第一台DC相同。在活动目录里，每个计算机也是一个账户，既然是账户也就要有自己的SID，要查看计算机账户在域中的SID，使用方法：“psgetsid    计算机名$”，如下图：
 

从图中可以看出，名为server1的计算机账户的SID号是域的SID+1003（RID）。而在a.com域中有两台DC，除了Server1外，还有一台名为Server2的DC，如下图：

  
 
同样，使用psgetsid工具去查看server2的SID，如下图：

 

发现疑点了没有，Server2的SID和域的SID也是一样的，其实，所有的DC和域的SID都是相同的，进一步说，克隆出来的虚拟机如果都要拿来做DC的话，是不用改SID的，如果你改了或者本来就不同的话，你在执行dcpromo将其提升成DC的时候，它的SID会被改成和域的SID相同。
但这仅限于拿来做DC，如果拿来做一个成员服务器，你会发现可以把它加入域，但无法在这台机器上登录域，因为它的SID和域的SID相同，应该是被认为是DC，但它又不是DC，所以登录域会失败，如下图：

 
总结一下：
1、域的SID来自域中第一台DC的SID
2、所有DC的SID和域的SID相同
3、域中的用户账户或计算机账户的SID=域SID+RID
4、成员服务器的SID如果和域的SID相同，则无法登录域
p.s 关于计算机SID号的深入探讨，可以查看psgetsid这个工具的作者Mark Russinovich的博客上一篇名叫《The Machine SID Duplication Myth》的文章，地址：

转载自：http://blog.csdn.net/windowsxpwyd/archive/2010/05/28/5629839.aspx