SID History

Özetle bir active directory kullanıcısının iki domain arasında taşınırken kaynak domain içerisindeki SID bilgisinin hedef domain içerisinde yeni açılacak bu kullanıcı hesabına bağlanması işlemidir. Bu sayede yeni domain' e taşınan bu kullanıcı için oluşturulan yeni SID nin yanında eski domain kaynaklarına da erişmesini sağlayan eski SID bilgiside kullanıcıya tanımlı olarak gelir.

SID kontrolü için aşağıdaki komutu kullanabilirsiniz

dsquery * -filter "&(objectcategory=user)(samaccountname=hakanu)" -attr objectsid

Burada kontrol ettiğiniz kullanıcıda SIDHistory var ise iki çıktı göreceksiniz, ilk SID, "objectsid" olarak geçer, ikinci SID ise SIDHistory

 

Active Directory ortamında trust ilişkisi kurduğunuz iki domain arsında kullanıcı taşımak isteyebilirsiniz. Bunun temel sebebi eski ve yeni domainler arasında sadece kullanıcı değil başta kaynak olmak üzere grupları ve pek çok ortak kullanılan objeyide taşıyacaksınızdır. Buradaki mantık eski bir domain' den yeni bir domain' e geçiş işlemini gerçekleştirmektir. Eğer böyle bir durum yok ise yani eski kaynakları taşımayacaksanız zaten yeni domainde kullanıcıları bir kez daha açabilirsiniz.

 

Ancak gerçek hayat senaryolarında mevcut bu kullanıcı bilgileri çok önemli olduğu için hatta 1000 veya üzeri kullanıcınızın olduğunu düşünürseniz sadece onlara yeni şifre bilgilerini vermek bile ciddi bir iştir.

 

Bu nedenle böyle bir geçiş işleminde doğru olan mevcut kullanıcıyı şifresi ile taşımak olacaktır. Ancak taşınacak tek şey şifre değildir, SID' de taşınabilmektedir. SID bildiğiniz gibi kullanıcılar için kimlik numaraları olup hangi kaynak üzerinde yetkileri olduğu hep bu SID ye bağlıdır. Yeni domain' e taşınan bir kullanıcı yeni bir SID olacaktır. Bu çok doğal bir durumdur çünkü bildiğiniz gibi aşağıdaki gibi bir numaradır

 

S-1-5-21-1659004503-193565697-854245398-1002

 

ID numarasını farklı segmentlere bölebilirsiniz. Örneğin aşağıdaki gibi:

 

S-1-5-21-D1-D2-D3-RID

 

S-1-5 standart bir ön ektir. Burada 1 versiyon numarasıdır ve NT 3.1 versiyondan bu yana hiç değişmedi. 5 ise SID’nin NT tarafından atandığını gösteren tanımlamadır. 21 yine bir NT ön ektir. D1,D2,D3 ise domain’e özgü olan 32-bitlik tanımlayıcı numaradır. Bir domain kurulunca D1'den D3'e kadar olan numara otomatik oluşur ve aynı domain içerisindeki bütün objeler için bu D1,D2,D3 değerleri aynı olur. En sondaki RID, relative identifier‘ın kısaltmasıdır. Ve SID numarası içerisinde ait olduğu objeyi benzersiz kılan ve diğer objelerden ayıran numaradır. Her yeni hesap benzersiz bir RID numarasına sahiptir. Hatta eski kullanıcı ile aynı isim ve bilgiler kullanılsa bile RID her zaman farklıdır. Dolayısıyla, yeni açılan kullanıcının adı eski kullanıcı ile aynı olsa da RID numarası farklı olacağı için eski kullanıcının haklarını hiçbir şekilde kullanamayacaktır.

 

Peki toparlamak gerekir ise eğer bir kullanıcı taşıma işlemlerinden sonra eski kaynaklara erişmek istiyor ise bu durumda eski domain içerisindeki SID bilgisinide yeni kullanıcısına almak zorundadır.

işte kullanıcının taşınması sırasında eski SID bilgisininde alınması işlemine SID History denmektedir.