Benutzer-SID ändern
Bonifatiusschule Hamburg
ist es mï¿œglich bei einem Benutzer in einer Windows2000-Domï¿œne die SID
(nicht die des Computers, sondern des Benutzers) zu ï¿œndern? Also im
Prinzip ein Programm wie NewSID fï¿œr Benutzer-SIDs?
Der Hintergrund ist folgender: Aus unserem AD ist seltsamerweise ein
Benutzer verschwunden. Den kann ich natï¿œrlich unter gleichem Namen
wieder anlegen, aber die NTFS-Rechte usw. sind ja an seine SID gebunden
und nicht an den Namen. Ich weiᅵ die alte SID des Benutzers und mᅵchte
diese dem neu angelegten Benutzer wieder zuweisen. Geht das?
Danke im Voraus,
Andrᅵ
Roland Sommer
> Der Hintergrund ist folgender: Aus unserem AD ist seltsamerweise ein
> Benutzer verschwunden.
es geht wirklich nur um einen Account?
> Den kann ich nat�rlich unter gleichem Namen wieder anlegen, aber die
> NTFS-Rechte usw. sind ja an seine SID gebunden und nicht an den Namen.
> Ich wei� die alte SID des Benutzers und m�chte diese dem neu
> angelegten Benutzer wieder zuweisen. Geht das?
keine Ahnung. Alternativ kannst Du mittels SIDWalker die alte SID durch
die SID des neu angelegten Benutzers in den ACLs ersetzen lassen.
Grunds�tzlich ist es keine gute Idee, Rechte direkt an den Account zu
binden (mit Ausnahme von Home- oder Profilverzeichnissen o.�.).
!["Frank Röder [MVP]"'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjUCpYTJXLmS_ca_bt-Ml6tbMaD1ky55LRp9fy2424OJFjNjDQ=s40-c)
"Frank Röder [MVP]"
das geht nicht. Dieses Attribut wird vom System schreibgeschï¿œtzt.
Allerdings kannst Du doch diesen Benutzer wiederherstellen. Wenn Du kein
aktuelles Backup hast, dann kannst Du den gelï¿œschten User mit LDP.exe
oder auch mit Adrestore wiederherstellen.
http://technet.microsoft.com/de-de/sysinternals/bb963906.aspx
--
Viele Grᅵᅵe
Frank Rï¿œder
MVP Directory Services
![Yusuf Dikmenoglu [MVP]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjVSfir_PZ33H-rAl-Ok3VcX_e5IOWz0fDiJuKNVXMKumpzVsA=s40-c)
Yusuf Dikmenoglu [MVP]
Frank Rï¿œder [MVP] schrieb:
> ...dann kannst Du den gelï¿œschten User mit LDP.exe oder auch mit Adrestore
> wiederherstellen
nein, dass kann er nicht. Da der OP schrieb:
> ...einem Benutzer in einer Windows2000-Domï¿œne...
Und somit fï¿œllt die Tombstone Reanimierung weg.
Denn das Tombstone kann erst ab "Windows Server 2003"
reanimiert werden.
Gruᅵ, Yusuf
========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
========================================
"Frank Röder [MVP]"
2000 gibts bei mir schon lang nicht mehr......
Yusuf Dikmenoglu [MVP]
> 2000 gibts bei mir schon lang nicht mehr......
Das ist ja schï¿œn und gut, aber die Realitï¿œt sieht eben anders aus.
Der OP ist nicht der Einzige, der noch eine Windows 2000
Umgebung betreibt.
Norbert Fehlauer
Hi,
> Der OP ist nicht der Einzige, der noch eine Windows 2000
> Umgebung betreibt.
Aber einer von ganz wenigen. ;)
Bye
Norbert
![Winfried Sonntag [MVP]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjXdEqZtpkXz0AFa1lLZBTRauO9fuu7812JL6tBjN90kK4_WHg=s40-c)
Winfried Sonntag [MVP]
>> Der OP ist nicht der Einzige, der noch eine Windows 2000
>> Umgebung betreibt.
>
> Aber einer von ganz wenigen. ;)
Da heb ich doch gleich die Hand! Bei mir lï¿œuft auch noch ein W2K DC. ;-)
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Norbert Fehlauer [MVP]
Hi,
>> Aber einer von ganz wenigen. ;)
>
> Da heb ich doch gleich die Hand! Bei mir lï¿œuft auch noch ein W2K DC. ;-)
Jaja auch du mein Sohn Brutus. ;)
Bye
Norbert