RIDに基づいてユーザーとグループを識別するアプリケーションに取り組んでいます。したがって、ドメインに重複するRIDが存在する場合は問題が発生します。次のリンクhttp://support.microsoft.com/kb/315062は、管理者がRIDマネージャーの役割を引き継ぎ、2人以上のユーザーが同時にRIDを要求した場合に可能であると述べています。RIDが重複する可能性のある他の可能性を知りたいと思いました。
前もって感謝します。
1 に答える
1
あなたの質問で私が理解していないのは、なぜユーザーとグループを区別するためにRIDを使用しているのかということです。オブジェクトは異なるクラスからのものであるため、自然に区別されます。
Win32プログラミングでは、次のものを使用できます。
BOOL WINAPI LookupAccountSid(
__in_opt LPCTSTR lpSystemName,
__in PSID lpSid,
__out_opt LPTSTR lpName,
__inout LPDWORD cchName,
__out_opt LPTSTR lpReferencedDomainName,
__inout LPDWORD cchReferencedDomainName,
__out PSID_NAME_USE peUse
);
このAPIは、SIDがユーザーまたはグループであるかどうかを取得するための承認関数から取得されます。peUse
.NET Framework(C#)SecurityIdentifierを使用すると、SIDが有効なドメインアカウントを表しているかどうかを判断できます。
最後に、ディレクトリ内のオブジェクトを区別するために一般的に使用される方法はobjectGUID属性です。この属性は、各オブジェクトに存在します。そのため、SIDまたはGUIDを使用してActive Directoryサービスインターフェイス(ADSI)からオブジェクトを取得できます
"LDAP:///<GUID={28c67c50-9778-47a4-a77a-bf56f238a0c4}>"
また
"LDAP:///<SID=S-1-5-21-500000003-1000000000-1000000003-1001>"
(コメント後に編集)私が知る限り、ドメイン内で重複したRIDは、相対ID(RID)マスターの役割を果たすドメインコントローラーが失われたことによって説明される例外と見なされます。おそらく、ADデータベースにパッチを適用してSIDを変更できるハッキングツールが存在しますが、私にはわかりません。
注意してください。RIDは他のドメインで重複している可能性があります。フォレスト内にサブドメインまたは他のツリーがある場合は、異なるサブ権限を持つ同じRIDを再度見つけることができます(同じACL内にある可能性があります)
コンピューターのSIDにも重複があることがわかりましたが、Ghostの不適切な使用が原因でした。
于 2011-06-13T07:48:40.470 に答える