[Samba-it] SID locale assente?
NdK
ndk.clanbo at gmail.com
Wed Feb 11 22:52:45 MST 2009
Marco Gaiarin wrote:
> Mandi! NdK
> In chel di` si favelave...
>
>> IIRC il SID deve essere generato dal master della foresta. Non per
>> niente, se un master (Win) va down c'è una procedura *manuale* per
>> rendere principale un altro DC. Se infatti la rete fosse partizionata e
>> la procedura fosse automatica, potrebbero succedere le peggio cose.
>
> Ahem... capito ben poco... ;)))
Se hai una gerarchia un pelino complessa, con parecchi domini in trust,
i SID *non* vengono generati localmente, ma c'è un master (definito
manualmente quando si sono installati i primi server di dominio) che è
l'UNICO che può generare dei SID. Quando crei un utente o un account
macchina, il domain controller a cui chiedi la creazione inoltra la
richiesta fino alla radice (il master) che genera il SID e lo reinoltra.
Questo, se da un lato introduce un single point of failure (caso di rete
partizionata o guasto HW)), dall'altro evita che in un dominio possano
esistere due SID uguali.
> Io normalmente prendo il sid e modifico uno qualsiasi dei numeri
> dell'ultima parte, per capirsi:
> meti:~# net getdomainsid
> SID for domain METI is: S-1-5-21-4250781325-1187530023-1440971234
> SID for domain CAVA is: S-1-5-21-4250781325-1187530023-1440978646
> ('1234', la fantasia dell'informatico ;)
> sbaglio?
Nel caso più generale, si.
Se hai pochi controller e un solo dominio, rischi molto poco.
Se avessi più di un centinaio di controller, che gestiscono una ventina
di domini e con qualcosa come 200 mila utenti e 500 mila gruppi, il
rischio di problemi diventerebbe quasi una certezza...
O almeno questo è quello che hanno "venduto" a me quando (un po' di
tempo fa) ho fatto il corso per Active Directory.
BYtE,
Diego.
More information about the samba-it
mailing list