Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Duplicitní SIDy
červen 10
Duplicitní SIDy
by  Ondřej Ševeček  on 10.6.2014 15:03

Ne, že by se vám to asi mělo stávat, ale je samozřejmě možné, že máte v Active Directory nějaké objekty s duplicitními SIDy. Stát se to může po nesprávně provedené obnově RID managera (RID master FSMO), nebo při jeho nesprávně provedeném násilném převodu pomocí seize operace.

Tu je skript, který vám vyhledá duplicitní SIDy v celém forestu. Neděste se, samozřejmě se tam budou vyskytovat nějaké výchozí zabudované, ale to není problém. Hlavně aby tam nebyly duplicitní žádné doménové SIDy.

$sidy = dsquery * forestRoot -filter "(objectSID=*)" -limit 0 -attr objectSID -uc | % { $_.Trim() } | sort

for ($i = 0; $i -lt ($sidy.Count - 1); $i ++) {

  if ($sidy[$i] -eq $sidy[$i + 1]) {

    write-host $sidy[$i]

    $sid = [System.Security.Principal.SecurityIdentifier] $sidy[$i]

    $sidBytes = New-Object byte[] $sid.BinaryLength
    $sid.GetBinaryForm($sidBytes, 0)

    $binSIDinStr = '\{0}' -f [BitConverter]::ToString($sidBytes).Replace('-', '\')

    $duplSids = dsquery * forestRoot -filter "(objectSID=$binSIDinStr)" -limit 0 -uc
    write-host ($duplSids | Out-String)
  }
}

Vyhlašuju soutěž, kdo najde skutečně duplicitní SID?

Permanent Link to Post | Email Post Link | Number of Comments 1 Comment(s)

Comments

Dotaz

"nebo při jeho nesprávně provedeném násilném převodu pomocí seize operace".... muzete prosim nejak prize uspesnit/rozepsat? ci odkaz na jiny clanek? Diky
Jakub H. on 15.6.2014 21:24

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments