Дубли учетных записей SID $DUPLICATE

Дубли учетных записей SID $DUPLICATE

active-directory

Добрый день уважаемые читатели блога pyatilistnik.org, продолжаем траблшутинг с активным каталогом Active Directory, не так давно придя с утра на работу, ко мне обратились трое сотрудников с проблемой, что у них все пропало с рабочего стола и профиль абсолютно пустой. Подойдя к одному из них я начал изучать его компьютер с операционной системой Windows 10 Creators Update, у него действительно был чистый рабочий стол, зайдя в корень диска C:\ я обнаружил, две учетных записи с одним и тем же логином, единственная разница, у одной был дописан UPN суффикс. В базе Active Directory я обнаружил учетную запись с обозначением SID $DUPLICATE, давайте разбираться и вернем пользователю его рабочий стол.

Relative Distinguished Name (RDN)

И так, как и написал выше, на компьютере пользователя появился дублированный пользователь. Зайдя через оснастку ADUC я увидел пользователя у которого в имени была абракадабра, по типу "NF:4d844572-6bc6-4632-9977-648ce80dbea0"

Дубли $DUPLICATE-918

Если кто не в курсе, то в рамках одного леса Active Directory не может быть двух одинаковых логинов, я решил посмотреть обе учетные записи на предмет конфликта. В итоге у новой учетки вместо имени входа пользователя (пред-Windows 2000) стояло вот такое значение $DUPLICATE-918.

Свойства учетной записи $DUPLICATE-918

Я еще решил проверить SID учетных записей, они оказались разные, что еще больше меня запутало. В итоге стал производить диагностику Active Directory с помощью вот такого скрипта.

SID $DUPLICATE-918

repadmin /replsummary
pause
dcdiag /a /q
pause
repadmin /syncall
pause

По результатам проверки, выяснилось, что у меня была проблема с репликацией между сайтами, где одни системные администраторы создали точный дубль учетной записи пользователя, и так как он был сделан позже, то стал главнее и добавил для старой учетной записи суффикс SID $DUPLICATE. Что делал для устранения проблемы:

  • Отключил учетку без SID $DUPLICATE
  • Потом заменил SID $DUPLICATE на стандартный логин пользователя
  • Перезагрузил, компьютер пользователя и удостоверился, что рабочий стол вернулся.

Кстати у Microsoft про такую проблему есть статья, о Relative Distinguished Name (RDN)

https://social.technet.microsoft.com/wiki/contents/articles/15435.active-directory-duplicate-object-name-resolution.aspx

В статье автор как раз и рассказывает о конфликте со значением sAMAccountName, сам конфликт распознается системой, через 30 минут. Когда обнаружен объект с дублирующимся именем sAMAccountName, в журнале системных событий регистрируется событие с идентификатором события 12304. Подробности описывают объект, чье имя sAMAccountName было изменено, но нет информации об исходном значении sAMAccountName или конфликтующем объекте.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *