Quelles sont les possibilités qui peuvent être répliquées RIDs

StackOverflow https://stackoverflow.com/questions/6327340

  •  27-10-2019
  •  | 
  •  

Question

Je travaille sur une application dans laquelle j'identifie les utilisateurs nd groupes sur la base de leurs RIDs. Par conséquent il y aurait un problème si RIDs doublons existent sur le domaine. Le lien suivant http://support.microsoft.com/kb/315062 dit qu'il est possible que si l'administrateur saisit le rôle du gestionnaire RID et deux ou plusieurs utilisateurs demandent un RID simultanément. Je voulais savoir ce qui pourrait être d'autres possibilités qui pourraient donner lieu à RIDs en double.

Merci à l'avance.

Était-ce utile?

La solution

La chose que je ne comprends pas votre question est pourquoi vous utilisez RIDs pour distinguer les utilisateurs et les groupes. Les objets sont de différentes classes afin qu'ils se distinguent naturaly.

Dans la programmation Win32 vous pouvez simplement utiliser: 

BOOL WINAPI LookupAccountSid(
  __in_opt   LPCTSTR lpSystemName,
  __in       PSID lpSid,
  __out_opt  LPTSTR lpName,
  __inout    LPDWORD cchName,
  __out_opt  LPTSTR lpReferencedDomainName,
  __inout    LPDWORD cchReferencedDomainName,
  __out      PSID_NAME_USE peUse
);

Cette API vient de Fonctions d'autorisation pour récupérer dans peUse si le SID est un utilisateur ou un groupe.

Utilisation du .NET Framework (C #) le SecurityIdentifier peut être utilisé pour déterminer si le SID représentent un compte de domaine valide.

La dernière chose: la façon dont on utilise couramment pour distinguer les objets dans un répertoire est l'attribut objectGUID. Cet attribut est présent dans chaque objet. Ainsi, vous pouvez retreive objets de Active Directory Service Interface (ADSI) en utilisant ou SIDs GUIDs 

"LDAP:///<GUID={28c67c50-9778-47a4-a77a-bf56f238a0c4}>"

ou 

"LDAP:///<SID=S-1-5-21-500000003-1000000000-1000000003-1001>"

(Edité après votre commentaire) Pour autant que je sache, dupliqué RID dans un domaine est considéré comme une exception expliquée par la perte d'un contrôleur de domaine qui joue le rôle de maître d'ID relatif (RID). Peut-être qu'il existe des outils de piratage qui sont capables de colmater la base de données AD au changement SIDs mais je ne sais pas.

Soyez prudent , RIDs peuvent être dupliquées dans d'autres domaines. Si vous avez d'autres arbres ou sous-domaines en vous forêt, vous pouvez retrouver les mêmes avec RIDs différents sous-autorités (potentialy dans la même ACL)

J'ai aussi dupliqués dans SIDs d'ordinateur, mais cela était dû à une mauvaise utilisation Ghost.

Licencié sous: CC-BY-SA avec attribution
Non affilié à StackOverflow
scroll top