登陆域时“指定域的名称或安全标识SID与该域的信任信息不一致”解决方法

刚学AD搭建 于是用虚拟机克隆了两台2003 准备模拟下实验环境,一台DC做出来了,准备用另一台登陆域,可是就在登陆的时候问题出现了

弹出个对话框告诉我 指定域的名称或安全标识SID与该域的信任信息不一致 下面还有几句话看不到了

 

问题的原因很简单

就是因为我的这台2003是用虚拟机CLONE的 所以这两台机器里面所有的东西都一模一样,当然了里面的SID也就一样了

 

SID一样会产生什么样的后果呢,看一下微软的解释

 

SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户 具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。
       SID的作用:用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
       SID号码的组成:如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况 下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 一个完整的SID包括:
    • 用户和组的安全描述
    • 48-bit的ID authority
    • 修订版本
    • 可变的验证值Variable sub-authority values
       例:S-1-5-21-310440588-250036847-580389505-500 。我们来先分析这个重要的SID。第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构 (identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。然后表示一系列的子颁发机构,前面几项是标志域的,最后一个标志着域内的帐户和 组。

       SID重复问题的产生
       安装NT/2000系统的时候,产生了一个唯一的SID,但是当你使用类似Ghost的软件克隆机器的时候,就会产生不同的机器使用一个SID的问题。产 生了很严重的安全问题。 同样,如果是重复的SID对于对等网来说也会产生很多安全方面的问题。在对等网中帐号的基础是SID加上一个相关的标识符(RID),如果所有的工作站都 拥有一样的SID,每个工作站上产生的第一个帐号都是一样的,这样就对用户本身的文件夹和文件的安全产生了隐患。 这个时候某个人在自己的NTFS分区建立了共享,并且设置了自己可以访问,但是实际上另外一台机器的SID号码和这个一样的用户此时也是可以访问这个共享 的。

 

呵呵 其实就是说在一个域里面 SID 是不能有相同一样的,所以登陆域系统检测到SID号冲突就是提示你这个指定域的名称或安全标识SID与该域的信任信息不一致 de 消息

 

 

 

 BAIDU了一下 发现用封装系统来解决问题的挺多,不过太麻烦,又推荐了一个工具 NEWSID 这个是微软提供的 下载地址

 

http://www.microsoft.com/china/technet/sysinternals/utilities/NewSid.mspx

 

在命令行里面运行它就可以了,会弹出来一个向导,一步一步往下做就可以了,其中有一步就是他可以更改计算机名称

如果需要的话就顺便把那个改名的勾勾上就可以了 然后重新启动机器就大功告成了。

你可能感兴趣的:(windows,虚拟机,工作,Security,工具,微软)