確認 Client 端的 SID 是否一樣?
可以參考 http://phorum.study-area.org/index.php?topic=54825.0

註解:參考 http://www.novell.com/zh-tw/documentation/zcm10/zcm10_preboot_imaging/index.html?page=/zh-tw/documentation/zcm10/zcm10_preboot_imaging/data/bg4iu9s.html

安全性識別碼 (SID) 由安全性機構 (本地電腦上的 Windows 以及領域或 Active Directory 網路上的領域控制器) 產生。

Windows 會基於 ACL 授予或拒絕對資源的存取特權,ACL 使用 SID 來唯一識別使用者及其群組成員資格。
在使用者申請對資源的存取權時,ACL 會檢查使用者的 SID 以判斷使用者是否有權執行該動作,
或使用者是否屬於有權執行該動作的群組。

機器的 SID 是一個唯一的 96 位元數字。它是電腦上建立之使用者帳戶與群組帳戶 SID 的字首。
機器 SID 與帳戶的相對 ID 連接在一起,形成帳戶的唯一識別碼。

SID 的格式如下︰S-1-5-12-7623811015-3361044348-030300820-1013。

S 表示字串為 SID。
1 是修正層次。
5 是識別碼的授權值。
12-7623811015-3361044348-030300820 是領域或本地電腦識別碼。
1013 是相對 ID (rid)。
不同機器的 SID 必須唯一,因為在機器或使用者必須做唯一識別的情況下,重複的 SID 可能會導致問題。
在領域環境中,若具有重複 SID 的系統嘗試加入領域,便會導致錯誤。

例如,在工作群組環境中,安全性有賴於本地帳戶 SID。因此,若兩部電腦的使用者具備相同的 SID,
工作群組便無法加以區分。此時,兩位使用者都可以存取所有資源,包括檔案與登錄機碼。


網域伺服器是以唯一的SID來判定電腦,當發生這類問題時,
要解決這個問題的方法就是,將發生問題的電腦,退出網域,再重新加入。
但是在已加入網域的狀況,該電腦又可以連到網域主機,但是又無法登入的狀況時,
請先將發生問題的電腦的網路線斷線,以離線狀態進行脫離網域,要不然會無法脫離網域。

等到脫離網域並重新開機登入之後,再把網路線接上,再重新加入網域即可。

如果還是有問題,請到網域控制站上,將該電腦名稱刪除,再重新加入。

PS.如果要變更SID,可以到微軟網站下載NewSID工具軟體(Sysinternals工具組)
http://www.microsoft.com/taiwan/technet/sysinternals/Security/NewSid.mspx

創作者介紹
創作者 ITMan 的頭像
ITMan

挨踢人

ITMan 發表在 痞客邦 留言(0) 人氣()