Дубли учетных записей SID $DUPLICATE

Обновлено 10.11.2017

Добрый день уважаемые читатели блога pyatilistnik.org, продолжаем траблшутинг с активным каталогом Active Directory, не так давно придя с утра на работу, ко мне обратились трое сотрудников с проблемой, что у них все пропало с рабочего стола и профиль абсолютно пустой. Подойдя к одному из них я начал изучать его компьютер с операционной системой Windows 10 Creators Update, у него действительно был чистый рабочий стол, зайдя в корень диска C:\ я обнаружил, две учетных записи с одним и тем же логином, единственная разница, у одной был дописан UPN суффикс. В базе Active Directory я обнаружил учетную запись с обозначением SID $DUPLICATE, давайте разбираться и вернем пользователю его рабочий стол.

Relative Distinguished Name (RDN)

И так, как и написал выше, на компьютере пользователя появился дублированный пользователь. Зайдя через оснастку ADUC я увидел пользователя у которого в имени была абракадабра, по типу "NF:4d844572-6bc6-4632-9977-648ce80dbea0"

Если кто не в курсе, то в рамках одного леса Active Directory не может быть двух одинаковых логинов, я решил посмотреть обе учетные записи на предмет конфликта. В итоге у новой учетки вместо имени входа пользователя (пред-Windows 2000) стояло вот такое значение $DUPLICATE-918.

Я еще решил проверить SID учетных записей, они оказались разные, что еще больше меня запутало. В итоге стал производить диагностику Active Directory с помощью вот такого скрипта.

По результатам проверки, выяснилось, что у меня была проблема с репликацией между сайтами, где одни системные администраторы создали точный дубль учетной записи пользователя, и так как он был сделан позже, то стал главнее и добавил для старой учетной записи суффикс SID $DUPLICATE. Что делал для устранения проблемы:

• Отключил учетку без SID $DUPLICATE
• Потом заменил SID $DUPLICATE на стандартный логин пользователя
• Перезагрузил, компьютер пользователя и удостоверился, что рабочий стол вернулся.

Кстати у Microsoft про такую проблему есть статья, о Relative Distinguished Name (RDN)

В статье автор как раз и рассказывает о конфликте со значением sAMAccountName, сам конфликт распознается системой, через 30 минут. Когда обнаружен объект с дублирующимся именем sAMAccountName, в журнале системных событий регистрируется событие с идентификатором события 12304. Подробности описывают объект, чье имя sAMAccountName было изменено, но нет информации об исходном значении sAMAccountName или конфликтующем объекте.