Active Directory Verständnisfrage (SIDs)

[samsam 14]

Hallo,

 

Ist das möglich ganze Domain SIDs ändern und neue SIDs geben?

Oder bei Domain renaming, ändert ganze Domain SIDs und bleibt alte SIDs in SIDHistory?

 

Vielen Dank

MFG

[NilsK 3.057]

Moin,

 

die SIDs werden von AD vergeben, die lassen sich nicht manipulieren.

 

Was ist denn die genaue Anforderung?

 

Gruß, Nils

[samsam 14]

Moin Nilsk,

 

zuerst danke für schnelle Antwort (wie immer).

Ich habe in meine TestLab so gemacht:

 

1- DC1 installiert (2K8).

2- All users mit script importiert.

3- Eine Image Backup gemacht (ich weiß, muss man niemals tun, aber das ist nur eine test).

4- Eine neue VM eingestellt.

5- Image Backup auf diese VM restore gemacht.

Bis jetzt habe 2 DC (gleiche name mit gleiche Domain). Also, SIDs sind auch gleiche.

Jetzt die Frage:

Wenn ich diese Domain umbenennen (Renaming), werde SIDs ändern und alte SIDs bleiben in SIDHistory oder meine meinung ist total falsch?

Wenn SIDs gleich sind, dann kann man nicht zwichen Domains Trust einrichten, ist schon klar, aber wenn SIDs nicht gleich sind und alte SIDS als SIDHistory sind, bekommt man Trust probleme?

 

Wie gesagt, ich weiß ist einfach, dass man neue DC mit neue Domain installieren, aber möchte nur testen.

 

Vielen Dank

MFG

[NilsK 3.057]

Moin,

 

das lässt sich so nicht umsetzen. Ein Domain Rename ändern den Namen der Domäne, mehr nicht. Alle Objekte und deren SIDs bleiben gleich. Den SID kann man nicht ändern. Und natürlich kannst du zwischen zwei geklonten Domänen keinen Trust aufbauen.

 

Aber wenn es ohnehin nur um ein Testlabor geht und du unterschiedliche SIDs brauchst, warum nutzt du nicht einen Export/Import und eine zweite Domäne?

 

faq-o-matic.net » Active-Directory-Double als Testumgebung

 

Gruß, Nils

[samsam 14]

Moin NilsK,

 

vielen Dank für die Artikel, ich habe schon vor die Frage gelesen.

Ich möchte nur richtig SIDs verstehen.

Also, war meine meinung falsch oder richtig?

Kann mann nicht überhaupt ganze SIDs ändern oder gibt es wieder eine Trick?

 

und noch andere Frage:

 

Wie Yusuf (Daim) in diese Artikel zeigt, SID sieht so aus:

 

S-1-5-21-956547467-2769573453-2154042951-500

 

S = SID

1 = Die Revisionsnummer

5 = Identifier Authority

21-956547467-2769573453-2154042951 = Domäne

500 = Benutzer (in diesem Beispiel, der Administrator)

 

Ist nicht Domäne, Domain Name oder ist mehr als Domain Name?

Also, wenn nicht Domain Name ist, wie baut AD diese Nummer?

 

Vielen Dank

MFG

[NilsK 3.057]

Moin,

 

Kann mann nicht überhaupt ganze SIDs ändern oder gibt es wieder eine Trick?

 

das habe ich doch jetzt schon zweimal beantwortet ...

 

Ist nicht Domäne, Domain Name oder ist mehr als Domain Name?

Also, wenn nicht Domain Name ist, wie baut AD diese Nummer?

 

Die Frage verstehe ich nicht.

 

Der Domänen-SID wird beim dcpromo gebildet aus dem Computer-SID des ersten Domänencontrollers und danach nicht geändert. Alle DCs einer Domäne haben denselben Computer-SID.

 

Die SIDs für weitere Objekte werden dann vom Domänen-SID abgeleitet, indem der RID (letzte Zahl) angehängt wird.

 

Gruß, Nils

[samsam 14]

Moin,

 

vielen Dank für die Antworten.

Jetzt is alles klar. Ich habe alles verstanden.

Ich habe gedacht, diese Nr.: 21-956547467-2769573453-2154042951 kommt von Domain Name :o

 

Vielen Dank nochmals für klare Antworten.

MFG

[NilsK 3.057]

Moin,

 

prima! :)

 

Gruß, Nils

[P.Foeckeler 11]

Noch eine kleine Klug********r-Attacke am Rande:

 

Die -21- in einer Domänen-SID gehört nicht zur Domänen-Kennung, diese Zahl steht für die Typisierung des nachfolgenden SID-Teils

 

Genaue Doku über SIDs:

 

SelfADSI : Microsoft Security Descriptor (SID) Attribute

 

Gruß,

Philipp