Відповіді на запитання читачів, Windows IT Pro
Чи можуть два облікові записи Active Directory (AD) мати однакові SID? Якщо так, то як видалити дублікат?
Жан де Клерк: Існують захисні механізми, що запобігають появі однакових ідентифікаторів безпеки (SID) у домені Windows. Ідентифікатор SID за визначенням унікальний в рамках домену Windows, проте система безпеки AD може випадково видати двом обліковим записам один і той самий ідентифікатор SID під час передачі ролі FSMO майстра відносного ідентифікатора (RID) від одного контролера домену (DC) іншому.
Контролер домену (DC), який відіграє роль FSMO майстра RID, відстежує всі пули RID, що призначаються різним DC в домені. Майстер RID стежить за тим, щоб кожному DC призначався унікальний пул RID, що не перекривається. Майстер RID запобігає появі дубльованих SID у домені, оскільки RID становить частину SID учасників безпеки. SID кожного облікового запису AD складається з SID домену та RID, а RID є унікальним для кожного учасника безпеки в домені.
Дубльовані SID можуть з'являтися, коли адміністратор здійснює передачу (або «захоплення» в термінології AD) ролі майстра RID іншому DC, поки вихідний майстер RID знаходиться в автономному режимі, наприклад, через тимчасове порушення мережного підключення. При відновленні мережного підключення майстер RID, який ще не отримав оновленої інформації про реплікацію AD, включаючи передачу ролі майстра RID, може видати контролеру домену пул RID, ідентичний виданому раніше іншому DC іншим майстром RID. Ці DC можуть згенерувати ідентичні RID і, отже, однакові SID для нових облікових записів.
Щоб уникнути дублювання, після передачі ролі майстра RID від одного DC іншому необхідно перевіряти AD на наявністьоднакових SID та усувати наявні повторення. Виявити та усунути дубльовані SID можна з командного рядка за допомогою утиліти ntdsutil, як показано нижче.
Щоб виявити дубльовані облікові записи, зробіть таке:
Ці дії забезпечують створення файлу журналу під назвою dupsid.log у каталозі файлової системи, з якої було запущено утиліту ntdsutil. Виявлені в AD дубльовані SID будуть перелічені у файлі dupsid.log.
Для усунення дубльованих SID зробіть таке:
Ці дії забезпечують видалення одного з двох дублікатів, що мають однакові SID, - облікового запису з новим глобально унікальним ідентифікатором (GUID) AD. Після цього необхідно вручну знову створити віддалені облікові записи, які автоматично отримають нові унікальні SID.
Чи існує простий спосіб резервного копіювання та відновлення дозволів для загальних ресурсів, визначених у Windows XP або Windows Vista?
Жан де Клерк: Резервну копію дозволів для спільних ресурсів можна створити шляхом експорту вмісту розділу реєстру Shares. Для цього потрібно відкрити regedit та перейти HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanmanServerShares, клацнути правою кнопкою миші на цьому розділі та вибрати Export. У діалоговому вікні експорту файлу реєстру, що відкрилося, слід вказати ім'я файлу .reg для збереження дозволів загального доступу. Для відновлення дозволів двічі клацніть на файлі .reg, щоб імпортувати дозволи назад у реєстр.
reg export HKLMSYSTEMCurrentControlSetServices
Для відновлення дозволів із файлу shares.reg введіть команду:
reg import shares.reg
Чи можна відновити вихідні параметри доменної політики та політики, що використовується за умовчаннямконтролерів домену без резервної копії?
Жан де Клерк: У Windows Server 2008 і Windows Server 2003 є утиліта Dcgpofix (dcgpofix.exe), що дозволяє повертати у вихідний стан параметри домену та політики контролерів домену, які використовуються за замовчуванням. Щоб нею скористатися, необхідно зареєструватись при вході в систему як адміністратор домену або адміністратор підприємства.
Що таке Windows Server 2008 Foundation?
Джон Севілл: Компанія Microsoft випустила нову редакцію Windows Server 2008, Windows Server 2008 Foundation, яка є полегшеною версією Windows Server 2008 для малих компаній. Випуск Foundation має лише безліч ролей і компонентів Windows Server 2008.
Цю редакцію можна придбати лише заздалегідь встановлену на серверах від OEM-виробників. По суті, Foundation є сервером початкового рівня. Це недорога версія Windows Server 2008, альтернатива серверам, які працюють із дистрибутивами Linux. Компанія Microsoft вважає, що вона покликана зіграти в серверному середовищі ту саму роль, що й операційна система для нетбуків.
Foundation ліцензується за кількістю облікових записів користувачів, яких не повинно бути більше 15. Windows Server 2008 Foundation у будь-якій компанії може стати першою операційною системою із сімейства Server 2008, але зі зростанням бізнесу від неї можна перейти до старших версій, отримавши доступ до більш потужних функцій та розширивши коло користувачів.
До складу Windows Server 2008 Foundation входять такі компоненти:
Для підключення до Foundation не потрібні клієнтські ліцензії CAL, але потрібні ліцензії CAL для служб терміналів Terminal Services (TS) та служб керування правами Windows Rights Management Servicesтих, хто використовує ці компоненти.
На відміну від випусків Windows Small Business Server та Windows Essential Business Server, до складу яких входять компоненти для підтримки пошти, спільної роботи та управління, Foundation є лише полегшеною операційною системою Windows Server 2008 Standard.
Windows Server 2008 Foundation буде випускатися англійською, іспанською, турецькою, португальською, японською та китайською мовами. Мовні пакети не підтримуються.
Foundation – виключно 64-розрядна операційна система з такими обмеженнями:
Жан де Клерк ([email protected]) - співробітник Security Office компанії HP. Спеціалізується на керуванні ідентифікаційними параметрами та безпекою у продуктах Microsoft
Джон Севілл ([email protected]) — директор з технічної інфраструктури компанії Geniant, має сертифікати CISSP, Security and Messaging MCSE для Windows Server 2003 та звання MVP
Поділіться матеріалом з колегами та друзями