active-directory – 管理员帐户的错误SID
|
在研究
this question的问题时,我发现名为“Administrator”帐户的帐户中的帐户的SID是:
S-1-5-21-2025429265-492894223-1708537768-1124 这是错误的,因为real Administrator SID’s end in 500.使用相同的域密钥并寻找SID S-1-5-21-2025429265-492894223-1708537768-500什么都没有 – 内置的管理员帐户就不存在了. 我不知道这种情况何时或如何发生,我仍然在寻找,但我很确定它已经足够长,以至于我甚至没有可以恢复的备份来解决这个问题. 有没有人有任何关于如何正确的想法? 由于我所说的帐户显然不清楚,我的意思是在知识库文章中“原因”标题下的第二个项目符号点中提到的帐户:
嗯……这绝对是一个“不应该发生”的场景. RID 500管理员帐户标有“isCriticalSystemObject”属性设置为true,据我所知LSASS应该返回ERROR_DS_UNWILLING_TO_PERFORM错误(0x80072035),如果您尝试删除它. (我现在没有任何划痕AD可以在我的任何虚拟机中使用它来试一试.也许以后……)
无论如何,你如何搜索AD? 从AD用户和计算机,在域的根目录下执行“查找”,在“查找”下拉列表中选择“自定义搜索”,转到“高级”选项卡,然后输入LDAP搜索过滤器“(objectSid = S -1-5-21-2025429265-492894223-1708537768-500)”.这将为您提供从目录根目录中对域进行子树搜索. 如果您确实已经删除了您的RID 500管理员帐户,我会严格考虑与Microsoft产品支持服务联系.他们可能会编写一些代码来重新创建帐户(如果他们还没有这样的工具).我无法想象你是怎么设法删除它的,因为我能想到的唯一方法是通过ESE直接与数据库交互.我真的不认为有任何公开的API可以让你删除标记为“isCriticalSystemObject”的对象设置为True,我认为你也不能在RID 500管理员上将它设置为False.嗯… 你那里有一个有趣的情况.让我们知道上面的子树搜索返回什么. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |