[Samba-it] SID locale assente?

[NdK]

Marco Gaiarin wrote:
> Mandi! NdK
>   In chel di` si favelave...
> 
>> IIRC il SID deve essere generato dal master della foresta. Non per  
>> niente, se un master (Win) va down c'è una procedura *manuale* per  
>> rendere principale un altro DC. Se infatti la rete fosse partizionata e  
>> la procedura fosse automatica, potrebbero succedere le peggio cose.
> 
> Ahem... capito ben poco... ;)))
Se hai una gerarchia un pelino complessa, con parecchi domini in trust, 
i SID *non* vengono generati localmente, ma c'è un master (definito 
manualmente quando si sono installati i primi server di dominio) che è 
l'UNICO che può generare dei SID. Quando crei un utente o un account 
macchina, il domain controller a cui chiedi la creazione inoltra la 
richiesta fino alla radice (il master) che genera il SID e lo reinoltra.
Questo, se da un lato introduce un single point of failure (caso di rete 
partizionata o guasto HW)), dall'altro evita che in un dominio possano 
esistere due SID uguali.

> Io normalmente prendo il sid e modifico uno qualsiasi dei numeri
> dell'ultima parte, per capirsi:
> 	meti:~# net getdomainsid
> 	SID for domain METI is: S-1-5-21-4250781325-1187530023-1440971234
> 	SID for domain CAVA is: S-1-5-21-4250781325-1187530023-1440978646
> ('1234', la fantasia dell'informatico ;)
> sbaglio?
Nel caso più generale, si.
Se hai pochi controller e un solo dominio, rischi molto poco.
Se avessi più di un centinaio di controller, che gestiscono una ventina 
di domini e con qualcosa come 200 mila utenti e 500 mila gruppi, il 
rischio di problemi diventerebbe quasi una certezza...

O almeno questo è quello che hanno "venduto" a me quando (un po' di 
tempo fa) ho fatto il corso per Active Directory.

BYtE,
  Diego.