Gulp 226 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 Hehe, wieder mal mein Lieblingsthema SID's: Ein Domain Controller zeigt lediglich die Domain SID an. Diese muss bei allen Domain Controllern identisch sein. Die lokale SID, die bei der Installation vergeben wird, wird bei DC's nach dcpromo nicht mehr verwendet. (Versuche mal bei einem DC zB einen lokalen Benutzer anzulegen - für lokale Objekte wird die eben diese lokale SID verwendet, für Domänen Objekte eben die omain SID + den aktuellen Relative ID Pool, den der Poolmaster verwaltet.) DC's unterscheiden sich selbst anhand der DC-Computerkonten im Directory. Bei den SID's geht's reichlich kompliziert zu. Es gibt lokale SID's, die in Arbeitsgruppen die grosse Rolle spielen. Lokale SID's haben alle Workstations, egal ob diese in einer Domain oder nur in einer Arbeitsgruppe sind. Diese lokalen SID's werden unter anderem für lokale Anmeldungen benutzt. (In einem domänenbasierten Netzwerk hat zB auch der lokale Workstation Admin administrativen Zugriff über das Netzwerk auf die Workstation, aber auch der Domänenadmin.) Es gibt Domänen SID's. DC's haben diese Domänen SID und hängen eine relative ID (RID) dran, um die Eindeutigkeit der ID zu gewährleisten. Dieser RID Pool wird von einem DC verwaltet (wie Betriebsmasterrolle, etc). Domaincontroller werden standardmässig ihrer lokalen Kontenverwaltung nach dcpromo beraubt, daher spielt die lokale SID für DC's (fast) keine Rolle mehr. Günter's Link verweist auch 'nur' auf duplicate SID's in der SAM, also bereits SID's aus Domänen. Die lokalen SID's sind da aussen vor. Tatsächlich kann es auch im Domänenumfeld in manchen ungünstigen Konstellationen zu doppelten Domänen-SID's kommen (Thema: RID-Master auf GlobalCatalogue DC, verspätete Replikation bei Vetrauensstellungen und mehr), die man bei MS mit Hilfe von SIDFiltering in den Griff bekommen kann. (MS KB 315062 ) Grüsse Gulp Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 Ich habe da so meine Zweifel.... Object identification Every object in Active Directory has a permanent globally unique identifier (GUID), which is associated with several string forms of the object name (SAMAccountName, user principal name, and distinguished name), as well as a security identifier (SID). The object names and the SID are not permanent; that is, they can be changed. All permanent references to the object are kept in terms of the GUID. The object name is used for hierarchy navigation and display purposes, and the SID is used for access control. The DSA maintains the GUID association with an object when the object’s string name or SID changes, for example, when the object is moved to a different folder (the string name changes) or when the object is moved to a different domain (the string name and the SID change). http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/54094485-71f6-4be8-8ebf-faa45bc5db4c.mspx Es stimmt zwar, dass die SAM bei einem DC inaktiv ist, was aber nicht bedeutet, dass das Computer Objekt des DC's selbst keine SID hat. Schliesslich hat der DC auch eine GUID (kann man übrigens auch im DNS unter den _MSDCS sehen). Also zusamen gefasst: Es gibt lokale, sich auf einem Computer befindlichen Benutzerobjekte SID's. Diese sind aber wie gesagt lokal, und setzen sich wenn ich mich nicht täusche, aus einem Teil Computer SID und und einem zufälligen Teil zusammen. Es gibt aber auch Domänen SID's (Benutzer, Gruppen, Computer, usw. ...eben jedes Objekt). In einer Domäne spielen lokale SID eine untergeordnete Rolle, da man ja üblicherweise auf AD als Benutzerdatenbank und nicht die SAM eines einzelnen Computers zurück greifft. Wenn man zum beispiel die Domain User als Mitglied der lokalen Haupbenutzer hinzufügt, dann wird das zwar in der SAM des betreffenden Computers gespeichert, allerdings wird auf AD als Objekt Datenbank zurückgegriffen. Ausserdem könnten GPO und desweiteren gar nicht angewandt werden, wenn DC's keine Computer SID hätten. Worauf soll sich denn ein GPO referenzieren, ob es angewandt wird oder nicht? Gruss Velius Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 Hi Gulp, Tatsächlich kann es auch im Domänenumfeld in manchen ungünstigen Konstellationen zu doppelten Domänen-SID's kommen (Thema: RID-Master auf GlobalCatalogue DC, verspätete Replikation bei Vetrauensstellungen und mehr), die man bei MS mit Hilfe von SIDFiltering in den Griff bekommen kann. (MS KB 315062 ) Man lernt nie aus.., aber -was hast du denn gegen einen Ridmaster auf einem GC? (Infrastructurmaster OK, aber RID) -was wird denn in so einer Vertrauensstellung so repliziert (egal ob verspätet oder rechtzeitig)? - kannst du bitte näher beschreiben, wie man mittels Sidfiltering doppelte SIDs in den Griff bekommt. Kann ich nur eine der doppelten SIDs damit ausfiltern? cu blub Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 hi velius Es gibt aber auch Domänen SID's (Benutzer, Gruppen, Computer, usw. ...eben jedes Objekt). nicht ganz. nur die sog. securityprincipals, also user, computer und services cu blub Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 @blub Aber da steht auch "each object".... Every object in Active Directory has a permanent globally unique identifier (GUID), which is associated with several string forms of the object name (SAMAccountName, user principal name, and distinguished name), as well as a security identifier (SID). Ein DC ist soweit ich weiss ein Objekt. Ausserdem tretten doppelte SID normalerweise auf, wenn der RID master nicht ordenltich aus dem Netz entfernt wurde, oder zwei gleichzeitig online waren (Rollentransfer ohne das der ursprüngliche RID-Master online war usw.): Duplicate relative ID pools may occur if the administrator seizes the relative ID master role while the original relative ID master is operational but temporarily disconnected from the network. In typical practice, after one replication cycle, the relative ID master role is assumed by just one domain controller. However, before the role ownership is resolved, two different domain controllers might each request a new relative ID pool and be allocated the same relative ID pool. http://support.microsoft.com/default.aspx?scid=kb;en-us;816099 Gruss Velius Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 GUID hat jedes Objekt, SID wiegesagt nur die Sec.Principals (bin ich mir jetzt zu 98% sicher :cool: ) cu blub Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 Komisch, würde das gleiche andersrum mit 98% Wahrscheinlichkeit sagen, weil: Es steht "as well as a security identifier (SID)", und ausserdem habe ich soeben das Verhalten mit einer GPO nachgestellt. Man kann nach Domänen Controller Computer-Objekten filtern, und es wäre doch ziemlich eigenartig, wenn sich MS gerade bei den Controllern "nur" auf den Object-Name verlassen würde, wenn da "...als auch die SID" steht. Aber eben :) P.S.: Ich hab's mal ausprobiert mit PSgetSID. Auf den DC's wird scheinbar nur der Domänen Teil der SID herausgegeben. Wenn ich diese SID mit der eines Users mit "Additional Account Info" verleiche, dann sind beide SID's mit ausnahme der letzten vier Stellen der User SID identisch. Die Frage ist jetzt nur, ob das Computerobjekt des Controllers eine SID hat oder nicht..... P.P.S.: Wenn man eine normale Member Compute-SID mit der User-SID vergleicht bestehen keine Ähnlichkeiten, was auch Sinn macht, da die Computer-SID bei der Installation vergeben wird. Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 Ich habe da so meine Zweifel.... http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/54094485-71f6-4be8-8ebf-faa45bc5db4c.mspx Es stimmt zwar, dass die SAM bei einem DC inaktiv ist, was aber nicht bedeutet, dass das Computer Objekt des DC's selbst keine SID hat. Schliesslich hat der DC auch eine GUID (kann man übrigens auch im DNS unter den _MSDCS sehen). Also zusamen gefasst: Es gibt lokale, sich auf einem Computer befindlichen Benutzerobjekte SID's. Diese sind aber wie gesagt lokal, und setzen sich wenn ich mich nicht täusche, aus einem Teil Computer SID und und einem zufälligen Teil zusammen. Es gibt aber auch Domänen SID's (Benutzer, Gruppen, Computer, usw. ...eben jedes Objekt). In einer Domäne spielen lokale SID eine untergeordnete Rolle, da man ja üblicherweise auf AD als Benutzerdatenbank und nicht die SAM eines einzelnen Computers zurück greifft. Wenn man zum beispiel die Domain User als Mitglied der lokalen Haupbenutzer hinzufügt, dann wird das zwar in der SAM des betreffenden Computers gespeichert, allerdings wird auf AD als Objekt Datenbank zurückgegriffen. Ausserdem könnten GPO und desweiteren gar nicht angewandt werden, wenn DC's keine Computer SID hätten. Worauf soll sich denn ein GPO referenzieren, ob es angewandt wird oder nicht? Gruss Velius Dass ein DC keine Computer-SID hat sagte ich doch gar nicht! Er hat eine, aber eben eine im Active Directory. Nicht-DC's haben aber zwei Computer-SID's, eine lokale (die der DC nicht hat) und eine im Active Directory. Diese beiden unterscheiden sich, wie Du trefflich bemerkt hast, weil die lokale Computer-SID des Nicht-DC bei der Installation zufällig erstellt wird. Die Zweite Computer-SID, ich will sie mal Domänen-Computer-SID nennen (entspricht dem Domänen Computerkonto), wird beim Domänenbeitritt erstellt und auch im AD gespeichert. Summary:A security identifier (SID) is a unique value of variable length that is used to identify a security principal or security group in Windows operating systems. Well-known SIDs are a group of SIDs that identify generic users or generic groups. Their values remain constant across all operating systems. This information is useful for troubleshooting issues involving security. It is also useful for potential display problems that may be seen in the ACL editor. A SID may be displayed in the ACL editor instead of the user or group name. Nachzulesen in Well-known security identifiers in Windows operating systems @blub: Sorry, da hab ich mich echt verguckt, es ist der Infrastructure-Master, der nicht auf den GC gehört. siehe FSMO placement and optimization on Active Directory domain controllers Mit verspäteter Replikation meinte ich unter anderem dieses hier (manchmal sollte ich mir wirklich Gedanken über eindeutige Ausdrücke machen ;) ) : Windows 2000 SID filtering prevents the replication of schema naming contexts and of configuration naming contexts So nun noch ein wenig 'Bettlektüre' zu den SID's: How Security Identifiers Work Grüsse Gulp Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 12. Juni 2005 Melden Teilen Geschrieben 12. Juni 2005 Hi, wenn wir mal Gulps letzten Link auf die technische Referenz als Bibelwort betrachten, wirds doch noch eindeutig ;) A security identifier (SID) is a value of variable length that is used to uniquely identify a security principal or security group. cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.