Интересно, может ли кто-нибудь пролить свет на некоторую путаницу с SID.
В настоящее время возникает проблема с некоторыми политиками, применяемыми к нескольким машинам, основанным на одном образе. Один из наших администраторов запустил psgetsid \ [PC] на нескольких из этих машин и вернул все тот же SID. Однако, когда я запускаю get-adcomputer [PC], powershell возвращает другой атрибут SID для тех же машин.
Не понимаю, почему они разные.
Думаю, вам нужно прочитать Миф о дублировании SID машины:
http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx
Машинные SID и доменные SID / RID - это две разные вещи, поэтому вы видите две разные вещи, когда запускаете локальный инструмент на машине, по сравнению с командлетом Active Directory Powershell. Несколько заметок из комментариев к этому сообщению в блоге, которые вам следует прочитать:
Марк Руссинович: Вы предоставляете доступ к SID домена компьютера, а не к SID компьютера. Как и пользователи, учетные записи компьютеров в Домене имеют пароли, но пароли управляются Доменом.
Марк Руссинович: да, за исключением того, что идентификаторы безопасности компьютеров используются в качестве основы для идентификаторов безопасности домена, идентификаторы безопасности компьютеров могли быть постоянными.
Кроме того, приятель Марка Аарон написал отличную дополнительную статью о различии между идентификаторами безопасности локальных компьютеров и доменами:
http://blogs.msdn.com/b/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx
Аарон Маргозис: Вы можете увидеть SID машины на своем компьютере, запустив Sysinternals PsGetSid без параметров. Вы можете увидеть второй SID в системе, присоединенной к домену, передав PsGetSid имя компьютера, за которым следует $: psgetsid% COMPUTERNAME% $