概览
如果你的计算机系统是通过工具克隆或复制出来的镜像,如果通过克隆的计算机和原始宿主机同时运行在同个域服务或工作组中可能出现莫名的问题或直接提醒因为相同的 SID 标识而不能进行相关服务,特别是权限和安全方面的问题。
常见的问题是如果管理员从一台宿主机克隆出多个客户端计算机,又或是使用同一虚拟机母板克隆出多台 VM 之后,它们的 SID 即是相同,在后续的工作组运行服务或加入域时就会造成安全主体的识别混乱和加域失败等。
同时在创建用户与项目时报错:目录服务无法分配相对标识符。
2022/8/16 更新
关于
SID 也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。
处于工作组计算机的 SID 是由算法生成的,除特殊账户外,其它用户的 SID 也是由算法生成的;而域中各对象的 SID 是由域范围的 SID 和具有唯一性的相对标识符 (RID) 连接组成,RID 是在创建安全主体时由域中的 RID Master 分配的。RID Master 的作用是:分配可用 RID 池给域内的 DC 以及防止对象的 SID 重复。
作用
用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT 将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
组成
如果存在两个同样 SID 的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的 SID,在通常的情况下 SID 是唯一的,他由计算机名、当前时间、当前用户态线程的 CPU 耗费时间的总和三个参数决定以保证它的唯一性。
一个完整的 SID 包括:
• 用户和组的安全描述
• 48-bit 的 ID authority
• 修订版本
• 可变的验证值 Variable sub-authority values
例:S-1-5-21-310440588-250036847-580389505-500
我们来先分析这个重要的 SID。第一项 S 表示该字符串是 SID;第二项是 SID 的版本号,对于 2000 来说,这个就是 1;然后是标志符的颁发机构(identifier authority),对于 2000 内的帐户,颁发机构就是 NT,值是 5。然后表示一系列的子颁发机构,前面几项是标志域的,最后一个标志着域内的帐户和组。
获得
- 开始
- 运行
- regedt32
- HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members
- 找到本地的域的代码,展开后得到的就是本地帐号的所有 SID 列表。
查询
如果想查询本机 SID,通过 Cmd 或 PowerShell 运行 whoami /user
重置
重置 SID 步骤:打开以下本地路径:C:\Windows\System32\Sysprep,运行 Sysprep 程序,务必勾选【通用】选项,然后点击【确定】等待系统完成设置;
同时,或者使用 PowerShell 运行以下命令:
start C:\Windows\System32\Sysprep\Sysprep
系统自动重启电脑后,然后配置常见的基本信息和接受条款,最后设置一个新的电脑密码即可完成。
注意
重置后,以下内容和设置会被恢复:
- 计算机名
- 网络配置
- 基础个性化设置
- Windows 激活状态
0 条评论