Migração - SID e o SID History

Em uma migração de domínio é necessário em alguns cenários que o histórico do SID seja mantido. Para entender o como isso é importante é necessário saber o que é e entender como funciona o SID.

Um atributo importante. O security identifier (SID)

O SID é um valor binário que especifica o identificador de segurança (SID) do usuário. O SID é um valor exclusivo usado para identificar o objetos como um objeto de segurança. Toda vez que um objeto de segurança é criado como usuário ou grupo por exemplo é atribuído a esse objeto um identificador de segurança que é o que garante acessos e autenticação. Esse é SID é único e é gerado pelo controlador de domínio que possui a função RID Master. O DC que executa essa função gera um  conjunto de 500 RIDs (relative identifier) usado para criação desses objetos.

 Quando um novo objeto de domínio é criado é gerado um identificador de segurança (Secure ID). É com esse SID que o objeto pode ser autenticado e autorizado no domínio.

Quando o usuário faz logon entra em ação o Local Security Authority (LSA) que interage nesse processo, tanto local como com o Kerberos ou o NTLM.

Quando o usuário é autenticado ele receber um Token. que contém o SID, nome de usuário e grupos que ele faz parte.Esse token é usado no momento em que o usuário for acessar recursos na rede.

Quando o usuário possui um historico de SID, ele poderá acessar recursos no seu dominio novo e também no dominio antigo.

Consulte o seu Token

  • Digite o comando: whoami /all

 Curiosidade: O SID do administrador sempre termina com 500 (Isso é parte dos estudos e analises de segurança da informação, pois mesmo que você venha a renomear a conta de administrador, o final do SID  sempre será 500).

Consultando o SID

Para consultar o SID de um usuário em especifico use o comando:

  • dsquery user “CN=Daniel Donda, OU=ITPRO,DC=mcsesolution,DC=local” | dsget user –sid

Para listar todos usuários

  • dsquery user

Para listar todos SIDs

  • dsquery user | dsget user –sid

Consultando o SID History

Para listar os usuários e o SidHistory

  • dsquery * domainroot -filter “((objectClass=User))” -attr sAMAccountName sidhistory

Para listar o SidHistory de apenas um usuário

  • dsquery * domainroot -filter “((sAMAccountNAme=daniel.donda))” -attr sAMAccountName sidhistory

 

Com anos de experiência e metodologia de migração comprovada, a Quest tem um histórico de sucesso, incluindo:

  • Mais de 72 milhões de usuários do Active Directory® (AD) migrados
  • Mais de 60 milhões de mailboxes do Exchange® e Office 365® migradas

Saiba mais : https://www.quest.com/br-pt/migration-manager/ 

Anonymous