Contas de máquina do ActiveDirectory: mesmo SID após a reconstrução da máquina?

4

Quando uma nova máquina do servidor do Windows ingressa em um domínio, o AD parece criar uma conta de máquina "DOMAIN \ MACHINENAME $" para essa máquina com um SID.

Se a máquina for recriada novamente (com outro sistema operacional, aqui: W2K8 em vez de W2K3) e, em seguida, voltar a dominar, o AD reutilizará a conta de domínio existente com o mesmo SID?

(O motivo pelo qual estou perguntando é que usamos algumas contas de máquina como logins nos bancos de dados SQL2008.)

Obrigado Max

    
por Max 20.05.2010 / 23:33

2 respostas

6

Max: sim. As contas e os SIDs existentes serão reutilizados.

Contanto que você não exclua as contas de máquina do AD, você ficará bem. Quando você desassociar a máquina antiga, a conta será desativada. Quando você associar um novo computador (ou um novo sistema operacional no computador antigo) ao domínio, usando o nome de um objeto de computador existente no diretório, o SID do objeto de computador antigo será usado. Os logons de sua máquina no SQL Server continuarão funcionando bem.

Atualizado TOTALMENTE para Oleg: Você confundiu erroneamente o "SID da máquina" atribuído localmente no registro do computador membro com o SID atribuído pelo CD ao objeto de computador no Active Directory.

Sim - redefinir a senha na conta da máquina no Active Directory é o que acontece quando você entra no domínio com um computador com o mesmo nome de um objeto de computador existente no Diretório. Juntar-se ao doamin não altera o SID atribuído ao objeto de computador existente, no entanto. O SID do objeto de computador do AD é o SID referenciado nos logons do SQL Server de que o pôster está falando, não o SID do computador local do computador membro do domínio.

Os SIDs de máquinas locais dos computadores membros do domínio não significam nada em um ambiente do AD.

Eu recomendo que você leia este post do blog de Mark Russinovich , criador da ferramenta "NewSID", para ter uma ideia melhor de por que sua re: geração de re-SID está fora da base em um ambiente ponto-a-ponto.

    
por 21.05.2010 / 00:16
1

Eu sempre ri de pessoas que achavam que o noticiário (nunca usou) estava fazendo algo por elas!

neste caso, um servidor estaria se apresentando como domain \ servername $ para o sql server, portanto, contanto que fosse um membro do domínio funcional , o login funcionaria.

não funcional seria um servidor associado ao domínio sendo clonado sem o sysprep sendo executado.

    
por 21.05.2010 / 03:27