SID errado para conta de administrador

6

Ao pesquisar meu problema para esta pergunta , Descobri que o SID da conta no domínio denominado "Administrador" é:% S-1-5-21-2025429265-492894223-1708537768-1124

Isso deve estar errado, porque final do SID do administrador real em 500 . Usando a mesma chave de domínio e procurando por SID S-1-5-21-2025429265-492894223-1708537768-500 não gera nada - a conta interna de Administrador simplesmente não existe.

Eu não sei quando ou como isso aconteceu e eu ainda estou procurando, mas tenho certeza que tem sido assim o suficiente para que eu nem mesmo tenha um backup que eu possa restaurar que resolva isso.

Alguém tem alguma ideia de como corrigir isso?

Uma vez que a conta a que estou a falar aparentemente não é clara, refiro-me à conta referida no segundo ponto de marcador sob o título "Causas" neste artigo da base de dados de conhecimento:
link

The Administrator account Well-Known Security Identifier, or SID (the account name can be renamed)

    
por Joel Coel 23.08.2009 / 04:20

4 respostas

3

Hmm ... isso é decididamente um cenário "não deveria acontecer". A conta Administrador do RID 500 é marcada com o atributo "isCriticalSystemObject" definido como true e, até onde eu saiba, o LSASS deve retornar um erro ERROR_DS_UNWILLING_TO_PERFORM (0x80072035) se você tentar excluí-lo. (Eu não tenho um arranhão AD sentado em qualquer uma das minhas VMs agora para dar uma chance. Talvez mais tarde ...)

Como você está pesquisando o AD, afinal?

Em AD Users and Computers, faça um "Find" na raiz do domínio, escolha uma "Custom Search" no menu suspenso "Find", vá para a guia "Advanced" e digite o filtro de pesquisa LDAP "( objectSid = S-1-5-21-2025429265-492894223-1708537768-500) ". Isso lhe dará uma pesquisa de subárvore do domínio a partir da raiz do diretório.

Se você realmente tiver excluído sua conta Administrador do RID 500, de alguma forma, eu consideraria entrar em contato com o Atendimento Microsoft. Eles provavelmente podem ter algo codificado para recriar a conta (se ainda não tiverem essa ferramenta). Eu não posso imaginar como você conseguiu excluí-lo de qualquer maneira, porque a única maneira que eu poderia pensar em fazer isso seria interação direta com o banco de dados por meio do ESE. Eu realmente não achei que houvesse qualquer API exposta publicamente que permitisse excluir um objeto marcado com "isCriticalSystemObject" definido como True, e também não acho que você possa defini-lo como False no administrador do RID 500. Hmmm ...

Você tem uma situação interessante lá. Deixe-nos saber o que a pesquisa de subárvore acima retorna.

    
por 24.08.2009 / 00:44
2

Parece um usuário SID; o único SID que termina em -500 é para a conta interna nomeada especificamente Administrador. (Por padrão - pode ser renomeado via política de grupo).

Você está um pouco confuso com a frase "minha conta de administrador" - se você quer dizer sua conta de administrador de domínio pessoal, o que você está vendo está correto. Se você quer dizer a conta chamada Administrador, eu começaria verificando a política de grupo para descobrir o que aconteceu com a versão interna Conta de administrador - talvez alguém tenha renomeado e criado outra conta chamada Administrador?

    
por 23.08.2009 / 06:46
0

Conta interna para o quê e onde? Uma conta de administrador de domínio não está "incorporada" até onde eu sei como se fosse uma conta de domínio - o administrador local interno em um controlador de domínio só está disponível no modo de restauração de serviços de diretório ou se você o rebaixar para um servidor membro . Pelo menos esse é o meu palpite, mas pode estar errado ^^

De qualquer forma, se ele for embora e deve existir um administrador do sid 500 em um domínio (me bate, alguém mais sabe, eu acho;) você verificou os Objetos Excluídos se ele foi deletado?

    
por 23.08.2009 / 16:49
0

Qual versão do Windows? O Vista / 2008 e posteriores desativam a conta interna de Administrador por padrão. Eu também não tenho certeza, da sua descrição, se você está olhando para AD (domínio) ou SAM (não-domínio). Você não encontrará esse SID no AD para qualquer domínio = juntou-se à máquina de 2008.

    
por 23.08.2009 / 22:28