Могут ли две учетные записи Active Directory (AD) иметь одинаковые SID? Если да, то как удалить дубликат?
Жан де Клерк: Существуют защитные механизмы, предотвращающие появление одинаковых идентификаторов безопасности (SID) в домене Windows. Идентификатор SID по определению уникален в рамках домена Windows, однако система безопасности AD может случайно выдать двум учетным записям один и тот же идентификатор SID при передаче роли FSMO мастера относительного идентификатора (RID) от одного контроллера домена (DC) другому.
Контроллер домена (DC), который играет роль FSMO мастера RID, отслеживает все пулы RID, назначаемые различным DC в домене. Мастер RID следит за тем, чтобы каждому DC назначался уникальный неперекрывающийся пул RID. Мастер RID предотвращает появление дублированных SID в домене, поскольку RID составляет часть SID участников безопасности. SID каждой учетной записи AD состоит из SID домена и RID, а RID уникален для каждого участника безопасности в домене.
Дублированные SID могут появляться, когда администратор осуществляет передачу (или «захват» в терминологии AD) роли мастера RID другому DC, пока исходный мастер RID находится в автономном режиме — например, из-за временного нарушения сетевого подключения. При восстановлении сетевого подключения мастер RID, еще не получивший обновленной информации о репликации AD, включая передачу роли мастера RID, может выдать контроллеру домена пул RID, идентичный выданному ранее другому DC другим мастером RID. Эти DC могут сгенерировать идентичные RID и, следовательно, одинаковые SID для вновь создаваемых учетных записей.
Чтобы избежать дублирования, после передачи роли мастера RID от одного DC другому необходимо проверять AD на наличие одинаковых SID и устранять имеющиеся повторения. Выявить и устранить дублированные SID можно из командной строки с помощью утилиты ntdsutil, как показано ниже.
Чтобы выявить дублированные учетные записи, сделайте следующее:
-
Откройте командную строку, наберите ntdsutil и нажмите Enter.
-
Наберите security account management и нажмите Enter.
-
Наберите connect to server servername, где servername — NETBIOS-имя или полное доменное имя (FQDN) контроллера домена (DC), к которому вы подключаетесь, и нажмите Enter.
-
Наберите check duplicate SID и нажмите Enter.
-
Наберите q и нажмите Enter для выхода из меню управления учетными записями безопасности.
-
Наберите q и нажмите Enter для выхода из главного меню ntdsutil.
Эти действия обеспечивают создание файла журнала под названием dupsid.log в каталоге файловой системы, из которой была запущена утилита ntdsutil. Выявленные в AD дублированные SID будут перечислены в файле dupsid.log.
Для устранения дублированных SID сделайте следующее:
-
Откройте командную строку, наберите ntdsutil и нажмите Enter.
-
Наберите security account management и нажмите Enter.
-
Наберите connect to server servername, где servername — NETBIOS-имя или полное доменное имя (FQDN) контроллера домена DC, к которому вы подключаетесь, и нажмите Enter.
-
Наберите cleanup duplicate SID и нажмите Enter. Утилита Ntdsutil подтверждает успешное удаление дублированных SID.
-
Наберите q и нажмите Enter для выхода из меню управления учетными записями безопасности.
-
Наберите q и нажмите Enter для выхода из главного меню утилиты ntdsutil.
Эти действия обеспечивают удаление одного из двух дубликатов, имеющих одинаковые SID, — учетной записи с новым глобально уникальным идентификатором (GUID) AD. После этого необходимо вручную вновь создать удаленные учетные записи, которые автоматически получат новые уникальные SID.
Существует ли простой способ резервного копирования и восстановления разрешений для общих ресурсов, определенных в системе Windows XP или Windows Vista?
Жан де Клерк: Резервную копию разрешений для общих ресурсов можно создать путем экспорта содержимого раздела реестра Shares. Для этого нужно открыть regedit и перейти HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanmanServerShares, щелкнуть правой кнопкой мыши на этом разделе и выбрать Export. В открывшемся диалоговом окне экспорта файла реестра следует указать имя файла .reg для сохранения разрешений общего доступа. Для восстановления разрешений дважды щелкните на файле .reg, чтобы импортировать разрешения обратно в реестр.
Резервное копирование и восстановление разрешений для общих ресурсов можно также выполнить из командной строки с помощью программы Reg (reg.exe). Для создания резервной копии разрешений следует ввести указанную ниже команду, где shares.reg — имя файла для сохранения разрешений:
reg export HKLMSYSTEMCurrentControlSetServices
LanmanServerShares shares.reg
Для восстановления разрешений из файла shares.reg введите команду:
reg import shares.reg
Можно ли восстановить исходные параметры используемой по умолчанию доменной политики и политики контроллеров домена без резервной копии?
Жан де Клерк: В Windows Server 2008 и Windows Server 2003 имеется утилита Dcgpofix (dcgpofix.exe), позволяющая возвращать в исходное состояние параметры используемой по умолчанию доменной политики и политики контроллеров домена. Чтобы ею воспользоваться, необходимо зарегистрироваться при входе в систему как администратор домена или администратор предприятия.
При запуске этой программы будут утрачены все изменения, внесенные в используемую по умолчанию доменную политику и политику контроллеров домена после подключения первого DC домена. Проследите, чтобы утилита не вернула параметры безопасности принятой по умолчанию политики контроллеров домена в их исходное состояние. Для этого рекомендуется вручную проверить указанные параметры после запуска утилиты. Более подробную информацию можно найти в статье Microsoft по адресу http://support.microsoft.com/kb/833783.
В соответствии с общепринятой практикой, рекомендуется всегда иметь резервную копию доменной политики по умолчанию и политики контроллеров домена и прибегать к утилите Dcgpofix только как к последнему средству. Резервное копирование и восстановление объектов групповой политики удобно выполнять из среды консоли управления групповыми политиками (GPMC), как показано здесь на примере резервного копирования принятой по умолчанию политики контроллеров домена.
Что такое Windows Server 2008 Foundation?
Джон Сэвилл: Компания Microsoft выпустила новую редакцию Windows Server 2008, Windows Server 2008 Foundation, которая представляет собой облегченную версию Windows Server 2008 для малых компаний. Выпуск Foundation располагает лишь подмножеством ролей и компонентов Windows Server 2008.
Эту редакцию можно приобрести только заранее установленной на серверах от OEM-производителей. В сущности, Foundation представляет собой сервер начального уровня. Это недорогая версия Windows Server 2008, альтернатива серверам, работающим с дистрибутивами Linux. Компания Microsoft считает, что она призвана сыграть в серверной среде ту же роль, что и операционная система для нетбуков.
Foundation лицензируется по числу учетных записей пользователей, которых не должно быть более 15. Windows Server 2008 Foundation в любой компании может стать первой операционной системой из семейства Server 2008, но по мере роста бизнеса от нее можно перейти к старшим версиям, получив доступ к более мощным функциям и расширив круг пользователей.
В состав Windows Server 2008 Foundation входят следующие компоненты:
-
Active Directory: Foundation может быть контроллером домена(DC)в домене, содержащем только другие контроллеры Foundation(нельзя объединять контроллеры домена Foundation с иными DC)служба терминалов для удаленного доступа;
-
удаленный доступ;
-
Web-службы;
-
службы файлов и печати;
-
платформа приложений.
Для подключения к Foundation не нужны клиентские лицензии CAL, но требуются лицензии CAL для служб терминалов Terminal Services (TS) и служб управления правами Windows Rights Management Services для тех, кто использует эти компоненты.
В отличие от выпусков Windows Small Business Server и Windows Essential Business Server, в состав которых входят компоненты для поддержки почты, совместной работы и управления, Foundation представляет собой лишь облегченную операционную систему Windows Server 2008 Standard.
Windows Server 2008 Foundation будет выпускаться на английском, испанском, турецком, португальском, японском и китайском языках. Языковые пакеты не поддерживаются.
Foundation — исключительно 64-разрядная операционная система со следующими ограничениями:
-
один слот для физического процессора с несколькими ядрами (4 для стандартной версии Windows Server 2008);
-
8 Гбайт оперативной памяти (32 Гбайт);
-
30 соединений Server Message Block (неограниченно);
-
50 соединений RRAS (250);
-
10 соединений службы проверки подлинности Internet (5);
-
50 сеансов TS Gateway (250);
-
2 соединения для удаленного рабочего стола администратора;
-
нет возможностей запуска Hyper-V и виртуальных машин;
Дополнительные сведения можно найти на сайте Foundation по адресу https://www.microsoft.com/
windowsserver2008/en/us/foundation.aspx.
Жан де Клерк (jan.declercq@hp.com) — сотрудник Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft
Джон Сэвилл (jsavill@windowsitpro.com) — директор по технической инфраструктуре компании Geniant, имеет сертификаты CISSP, Security and Messaging MCSE для Windows Server 2003 и звание MVP