Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Zneplatnění stávajícího RID rozsahu na řadiči domény (DC)
květen 21
Zneplatnění stávajícího RID rozsahu na řadiči domény (DC)
by  Ondřej Ševeček  on 21.5.2012 12:53
Category: Active Directory

Zrovna dneska jsem potřeboval zneplatnit tzv. RID Pool nějakého řadiče domény (DC).

$dc = 'dc1.gopas.virtual'

$domain = [ADSI] "LDAP://$dc"
$rootDSE = [ADSI] "LDAP://$dc/rootDSE"

$rootDSE.Put('invalidateRidPool', $domain.objectSID.Value)

$rootDSE.SetInfo()

Tak takhle se to dělá :-)

Permanent Link to Post | Email Post Link | Number of Comments 3 Comment(s)

Comments

Zneplatnit?

To co znamena zneplatnit???
Ondrej Zilinec on 5.12.2012 13:11

Re: Zneplatnění stávajícího RID rozsahu na řadiči domény (DC)

no to je takhle. Při vytváření uživatelských účtů, skupin, počítačů, trustů a servisních účtů se jim musí přidělit SID. SIDy musí být unikátní. Je potřeba, aby každé DC tyhle SIDy generovalo samo, bez toho, aby k tomu byl někdo potřeba.

Obecně se říká, že k vytváření nových účtů je potřeba RID Master FSMO. To sice ano, ale ne vždycky. RID Master každému DC jenom na začátku přidělí 500 RIDů dopředu. (RID je koncovka SIDu, SIDy jsou složeny takhle S-1-5-21-DOMENA-RID).

Potom už RID master potřeba není. Každé DC si z tohohle svého rozsahu, tj. RID Pool, vydává svoje vlastní SIDy, které jsou tím pádem unikátní.

Jakmile je DC na konci toho svého RID Pool rozsahu (20% před koncem), tak si řekne RID masterovi o další rozsah a dostane dalších 500 SIDů. Pokud zrovna RID master není k dispozici, tak se nic neděje, jedeme dál až do konce našeho RID poolu.

Pokud bychom RID pool nakonec vypotřebovali a RID master nebyl k dispozici, tak ano, to už potom nepůjde vytvořit další účet ani jiný security principal.

Takže problém - mám pobočku v africe, kde víme, že bude potřeba vytvářet nějakou dobu nové účty. (lepší případ je třeba loď, ale tohle je reálný případ) Cca desítky. Jenže je to zrovna v tak blbým místě, že se tam okolo prohání hordy mačetářů a sekají všecko, co jim přijde do cesty. Takže už několikrát podělali dráty do centrály s opravou v rozsahu měsíce.

No a my bychom si rádi zajistili, že to africké DC bude mít dost RIDů, aby tam místní byli schopni vytvářet účty a skupiny. Jenže, co když je to DC zrovna kousek od konce a RIDů sice ještě pár má, ale už ne dost?

Tak stačí pustit tady tenhle skript a DCčko si nechá vydat nových 500 RIDů a bude jich mít dost, pro případ nedostupnosti RID FSMO.

ondass on 5.12.2012 14:27

Diki

Diki za odpoved :)
Ondrej Zilinec on 5.12.2012 14:43

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments