Я проанализировал журналы и нашел случайный sid, выполняющий аутентификацию против AD. Это выглядит следующим образом «s-1-5-21-xxxxx-xxxxx-xxxxx-0»; Его нельзя найти в домене или лесу. Я хочу знать, стоит ли в конце специальность «-0»?
Похоже, это SID домена. По сути SID самого домена.
https://msdn.microsoft.com/en-au/library/cc228090.aspx
идентификатор безопасности домена (SID домена): SID корневого объекта NC домена. Часть относительного идентификатора (RID) домена SID всегда равна нулю. Каждый объект участника безопасности в NC домена имеет атрибут objectSid, равный SID домена, за исключением части RID.