active-directory – 管理员帐户的错误SID

前端之家收集整理的这篇文章主要介绍了active-directory – 管理员帐户的错误SID前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在研究 this question的问题时,我发现名为“Administrator”帐户的帐户中的帐户的SID是:
S-1-5-21-2025429265-492894223-1708537768-1124

这是错误的,因为real Administrator SID’s end in 500.使用相同的域密钥并寻找SID S-1-5-21-2025429265-492894223-1708537768-500什么都没有 – 内置的管理员帐户就不存在了.

我不知道这种情况何时或如何发生,我仍然在寻找,但我很确定它已经足够长,以至于我甚至没有可以恢复的备份来解决这个问题.

有没有人有任何关于如何正确的想法?

由于我所说的帐户显然不清楚,我的意思是在知识库文章中“原因”标题下的第二个项目符号点中提到的帐户:
http://support.microsoft.com/kb/248079

The Administrator account Well-Known Security Identifier,or SID (the account name can be renamed)

嗯……这绝对是一个“不应该发生”的场景. RID 500管理员帐户标有“isCriticalSystemObject”属性设置为true,据我所知LSASS应该返回ERROR_DS_UNWILLING_TO_PERFORM错误(0x80072035),如果您尝试删除它. (我现在没有任何划痕AD可以在我的任何虚拟机中使用它来试一试.也许以后……)

无论如何,你如何搜索AD?

从AD用户和计算机,在域的根目录下执行“查找”,在“查找”下拉列表中选择“自定义搜索”,转到“高级”选项卡,然后输入LDAP搜索过滤器“(objectSid = S -1-5-21-2025429265-492894223-1708537768-500)”.这将为您提供从目录根目录中对域进行子树搜索.

如果您确实已经删除了您的RID 500管理员帐户,我会严格考虑与Microsoft产品支持服务联系.他们可能会编写一些代码来重新创建帐户(如果他们还没有这样的工具).我无法想象你是怎么设法删除它的,因为我能想到的唯一方法是通过ESE直接与数据库交互.我真的不认为有任何公开的API可以让你删除标记为“isCriticalSystemObject”的对象设置为True,我认为你也不能在RID 500管理员上将它设置为False.嗯…

你那里有一个有趣的情况.让我们知道上面的子树搜索返回什么.

猜你在找的Windows相关文章