[Samba-it] SID locale assente?
simo
simo.sorce at xsec.it
Thu Feb 12 06:27:15 MST 2009
On Thu, 2009-02-12 at 06:52 +0100, NdK wrote:
> Marco Gaiarin wrote:
> > Mandi! NdK
> > In chel di` si favelave...
> >
> >> IIRC il SID deve essere generato dal master della foresta. Non per
> >> niente, se un master (Win) va down c'è una procedura *manuale* per
> >> rendere principale un altro DC. Se infatti la rete fosse partizionata e
> >> la procedura fosse automatica, potrebbero succedere le peggio cose.
> >
> > Ahem... capito ben poco... ;)))
> Se hai una gerarchia un pelino complessa, con parecchi domini in trust,
> i SID *non* vengono generati localmente, ma c'è un master (definito
> manualmente quando si sono installati i primi server di dominio) che è
> l'UNICO che può generare dei SID. Quando crei un utente o un account
> macchina, il domain controller a cui chiedi la creazione inoltra la
> richiesta fino alla radice (il master) che genera il SID e lo reinoltra.
> Questo, se da un lato introduce un single point of failure (caso di rete
> partizionata o guasto HW)), dall'altro evita che in un dominio possano
> esistere due SID uguali.
Non e' cosi'.
> > Io normalmente prendo il sid e modifico uno qualsiasi dei numeri
> > dell'ultima parte, per capirsi:
> > meti:~# net getdomainsid
> > SID for domain METI is: S-1-5-21-4250781325-1187530023-1440971234
> > SID for domain CAVA is: S-1-5-21-4250781325-1187530023-1440978646
> > ('1234', la fantasia dell'informatico ;)
> > sbaglio?
> Nel caso più generale, si.
> Se hai pochi controller e un solo dominio, rischi molto poco.
> Se avessi più di un centinaio di controller, che gestiscono una ventina
> di domini e con qualcosa come 200 mila utenti e 500 mila gruppi, il
> rischio di problemi diventerebbe quasi una certezza...
L'unicita' del SID utente/gruppo (che e' = a SID dominio + RID) e'
garantita da 1. unicits' del SID dominio + RID che cresce (+/-)
monotonicamente.
Tutti i domain controller di un singolo dominio utilizzano lo stesso SID
di dominio e un pool di RID per controller.
> O almeno questo è quello che hanno "venduto" a me quando (un po' di
> tempo fa) ho fatto il corso per Active Directory.
Non toranre dagli stessi a fare un altro corso allora.
Simo.
More information about the samba-it
mailing list