NT,AUTHORITY,SYSTEM用户代表什么

admin

篇一：系统SID详解

前言

SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。

SID的作用

用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT，然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，Windows NT将会分配给用户适当的访问权限。

访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。

SID号码的组成

如果存在两个同样SID的用户，这两个帐户将被鉴别为同一个帐户，原理上如果帐户无限制增加的时候，会产生同样的SID，在通常的情况下SID是唯一的，他由计算机名、当前时间、当前用户态线程的CPU耗费

时间的总和三个参数决定以保证它的唯一性。

一个完整的SID包括：

? 用户和组的安全描述

? 48-bit的ID authority

? 修订版本

? 可变的验证值Variable sub-authority values

例：S-1-5-21-310440588-250036847-580389505-500

我们来先分析这个重要的SID。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组。

SID的获得

开始－运行－regedt32－HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembers，找到本地的域的代码，展开后，得到的就是本地帐号的所有SID列表。 其中很多值都是固定的，比如第一个000001F4（16进制），换算成十进制是500，说明是系统建立的内置管理员帐号administrator，000001F5换算成10进制是501，也就是GUEST帐号了，详细的参照后面的列表。

这一项默认是system可以完全控制，这也就是为什么要获得这个需要一个System的Cmd的Shell的原因了，当然如果权限足够的话你可以把你要添加的帐号添加进去。

或者使用Support Tools的Reg工具：

reg query "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList

还有一种方法可以获得SID和用户名称的对应关系： 1. Regedt32: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion ProfileList

2. 这个时候可以在左侧的窗口看到SID的值，可以在右侧的窗口中ProfileImagePath看到不同的SID关联的用户名，

比如%SystemDrive%Documents and SettingsAdministrator.momo这个对应的就是本地机器的管理员SID

%SystemDrive%Documents and SettingsAdministrator.domain这个就是对应域的管理员的帐户

另外微软的ResourceKit里面也提供了工具getsid，sysinternals的工具包里面也有Psgetsid，其实感觉原理都是读取注册表的值罢了，就是省了一些事情。

SID重复问题的产生

安装NT／2000系统的时候，产生了一个唯一的SID，但是当你使用类似Ghost的软件克隆机器的时候，就会产生不同的机器使用一个SID的问题。产生了很严重的安全问题。

同样，如果是重复的SID对于对等网来说也会产生很多安全方面的问题。在对等网中帐号的基础是SID加上一个相关的标识符（RID），如果所有的工作站都拥有一样的SID，每个工作站上产生的第一个帐号都是一样的，这样就对用户本身的文件夹和文件的安全产生了隐患。

这个时候某个人在自己的NTFS分区建立了共享，并且设置了自己可以访问，但是实际上另外一台机器的SID号码和这个一样的用户此时也是可以访问这个共享的。

SID重复问题的解决

下面的几个试验带有高危险性，慎用，我已经付出了惨痛的代价！ 微软在ResourceKit里面提供了一个工具，叫做SYSPREP,这个可以用在克隆一台工作站以前产生一个新的SID号码。 下图是他的参数

这个工具在DC上是不能运行这个命令的，否则会提示

但是这个工具并不是把所有的帐户完全的产生新的SID，而是针对两个主要的帐户Administrator和Guest，其他的帐号仍然使用原有的SID。

下面做一个试验，先获得目前帐号的SID： S-1-5-21-2000478354-688789844-839522115

然后运行Sysprep，出现提示窗口：

确定以后需要重启，然后安装程序需要重新设置计算机名称、管理员口令等，但是登陆的时候还是需要输入原帐号的口令。

进入2000以后，再次查询SID，得到：

S-1-5-21-759461550-145307086-515799519，发现SID。?号已经得到了改变，查询注册表，发现注册表已经全部修改了，当然全部修改了

另外sysinternals公司也提供了类似的工具NTSID，这个到后来才发现是针对NT4的产品，界面如下：

他可不会提示什么再DC上不能用，接受了就开始，结果导致我的一台DC崩溃，重启后提示“安全账号管理器初始化失败，提供给识别代号颁发机构的值为无效值，错误状态0XC0000084，请按确定，重启到目录服务还原模式...”，即使切换到目录服务还原模式也再也进不去了！ 。另外在Ghost的新版企业版本中的控制台已经加入了修改?，所以再次提醒大家，做以上试验的时候一定要慎重，最好在一台无关紧要的机器上试验，否则出现问题我不负责哦?想想自己胆子也够大的啊，好在是一台额外DC，但是自己用的机器，导致重装系统半天，重装软件N天SID的功能，自己还没有尝试，有兴趣的朋友可以自己试验一下，不

篇二：常见问题

一、 安装问题 1

1、在安装Citrix Presentation Server 4.0时提示Error 10001 1

2、在安装web interface时，提示“error 1609” 1

3、在添加删除程序中安装Web Interface 4.0时，提示“Application has generated an exception that could not be handled”的错误 2

4、在进行Presentation Server 3.0升级到Presentation Server 4.0的安装过程中，提示"Installation ended prematurely because of an error."错误信息 2

5、当Citrix服务器要加入一个Farm或执行CHFARM时，FarmName是空白的无法显示： 3

二、应用配置问题 5

1、在citrix服务器上进入presentation server console时，提示下面的错误信息无法进入主控台，是什么原因？ 5

2、IMA服务不能正常启动的原因分析 5

3、在citrix客户端登陆服务器的应用程序时，提示"您没有登陆这个会话的访问权" 6

4、当citrix客户端进行文件的本地保存时，如果保存界面误选择了“always ask me” 后，则以后在保存文件时citrix就不会在提示了，如果客户误选择了禁止本地路径保存，这样就无法将文件保存在本地了，怎样更改这个设置呢？ 7

5、Citrix客户端运行K3提示“Cannot connect to the Citrix MetaFrame Server Can’t assign requested address" 8

8、在citrix运行过程中，会出现citrix客户端非正常退出后，仍然占用了citrix的连接，从而导致超出客户的license数其他客户端无法登陆，如何处理该问题？ 8

9、当citrix服务器是WIN2003操作系统时，会出现A用户已经登录，如果这时B用户再登录就会使用A用户断开 9

10、当一个citrix客户端的连接意外中断后，如果其他citrix客户端马上登陆上来后，会直接登陆到刚才中断的客户端的进程之中，客户感觉存在安全问题，如何设置避

免？ 11

11、当client登录到server端的时候，为什么会出现一下提示：Network or dialup problems are preventing communication with the Citrix server. An attempt to automatically restore the connection will begin after a delat to let the network recover. If the problem persists, please contact your network administrator的错误信息 12

12、在线更新了Microsoft的补丁后，Citrix应用出现蓝屏，并且Citrix服务器出现winlogon.exe进程占用满服务器CPU的现象 13

13、Citrix终端登陆时，提示“ICA Client Error 1043: Invalid Parameter”的错误 13

14、如何让客户端下载ICA客户端（Web Client 拷贝位置） 14

15、当连接应用程序时，登陆窗口停留在“Running logon scripts?”界面 14

16、当通过web客户端登陆Citrix服务器时提示“必须拥有终端服务器用户访问权限”的错误提示，但权限已经都拥有了，这是什么原因FF1F 15

17、客户的citrix服务器通过NAT提供外部访问，但是远程客户端登陆时都提示：“cannot connect to the citrix metaframe server.there is no citrix metaframe server configured on the specified address” 15

18、Citrix客户端登陆进入后，无法使用服务器上的输入法 16

19、多台Citrix服务器作了负载均衡的设置，但仍然发现客户端访问时会出现非常慢服务器相应不了的现象 17

20、Citrix客户端登陆到服务器后，看不到客户端本地磁盘 17

三、License问题 18

1、License无法检测到的问题分析 18

2、如何删除Citrix的Licenses 21

3、如何确定已经安装Citrix Presentation Server的版本 21

4、在License Management Console中显示出License过期，但已经更新了

License 22

5、在打开License Management Console页面无法显示，提示“HTTP Error 403.2 Forbidden: Read access is denied”的错误信息 22

6、打开License Management Console页面提示Can’t Connect to License Server. Verify that the License Server is running. 23

四、Web Interface应用 25

1、Citrix3.0版本提供外网访问的配置 25

2、Citrix4.0版本提供外网访问的配置 28

3、当citrix服务器更改了IP地址以后，客户端通过web方式执行发布的应用程序时提示错误，无法连接到服务器 31

4、在citrix的外部客户端通过web方式登陆时，提示“the alternate address cannot be found”的错误信息，无法正常登陆 32

5、当登陆Web Interface时提示XML的错误信息时 32

6、当citrix客户端通过web方式访问服务器上发布的应用程序，提示下面的错

误 33

7、Citrix4.0应用时提示“ERROR: The supplied credentials could not be validated. Either they are incorrect, or there is a problem with the authentication system” 36

8、在citrix4.0的 Access Suite Console配置中，无法连接Web Interface，并且Create Site功能选项看不到了 37

9、在CITRIX4.0的web interface中配置Discovery时，提示“Error: The RPC server cannot

be contacted on server SERVERNAME” 37

10、citrix登录提示“...workspace control...”错误 38

11、登录CITRIX出现Error: The MetaFrame server farm cannot process your request at this time. The MetaFrame server farm sent HTTP headers indicating that an error occurred. 401 Access Denied 39

12、使用动态ADSL拔号是如何设置从外网访问 40

13、Presentation Server 3.0 Web Interface汉化 40

14、Presentation Server 4.0 Web Interface汉化 41

五、打印问题 41

1、Citrix的客户端打印机没有正常映射的分析 41

2、采用HP USB接口的打印机进行Citrix的终端本地打印时，打印机没有响应 45

3、如何在Citrix服务器上增加打印机的驱动程序？ 46

4、在Citrix Presentation Server 4.0应用下，当用户访问打印机属性的高级菜单试图enable advanced printing features，出现Print settings could not be saved, access is denied的错误信息 46

5、Citrix Presentation Server 4.0管理员用户无法对服务器上映射的打印机进行管理，会提示“您对这台打印机没有访问权限”的错误信息，怎样才能够让管理员用户获得访问权限？ 46

6、应用程序在打印时不知道打到那台机上（应用程序本身不可选择打印机） 47

7、当客户端有多个打印机，并且设置了默认的打印机，但当客户端登陆到citrix服务器上运行发布的应用程序进行打印时，原来的默认打印机设置就没有了 48

8、通过ICA Client Version 9.0或者后期的版本访问citrix，无法进行打印，打印任务无法传输到客户端机器上，但在服务器上打印任务正常 48

一、 安装问题

1、在安装Citrix Presentation Server 4.0时提示Error 10001

原因分析：Citrix Presentation Server 4.0的英文版安装过程中会一直搜索机器上的NT AUTHORITYAuthenticated Users用户，一旦出现该用户组被列在不同的名称下，就会出现错误

解决方法：通过msiexec命令来执行Citrix Presentation Server 4.0的安装步骤，命令行如下：

Msiexec /i “<path to mps.msi>” CTX_MF_AUTH_USERS_GROUP="transalation of NT AUTHORITYAuthenticated Users" /l*v “<path to log file>”.

“path to mps.msi”中输入mps.msi文件的正确路径和文件名，将“transalation of NT AUTHORITYAuthenticated Users”替换为本机的本地用户与组中存在的用户，“path to log file”输入一个log文件的完整路径。

2、在安装web interface时，提示“error 1609”

原因分析：在win2000成员服务器上安装.NET运行环境时，系统会自动创建一个本地帐户ASPNET用来运行.NET的framework工作进行（Aspnet_wp.exe）,而在2000域控制器上，ASPNET帐户不会自动创建，因而导致上面的问题。

解决方案：

在安装web interface之前，手工创建一个本地帐户ASPNET，在安装完成后，该用户将被删除或禁用，因为运行.NET工作进程将由IWAM系统帐户替代。

还有一点，要在控制面板－本地安全策略中，本地策略－用户权利指派中，在“身份验证后模拟客户端”策略中添加IWAM系统帐户。

3、在添加删除程序中安装Web Interface 4.0时，提示“Application has generated an exception that could not be handled”的错误

原因分析：安装方式的问题，导致安装过程阻止了安装参数的提交从而导致报错解决方法：

推荐在安装Web Interface 4.0时，采用Citrix Presentation Server 4.0安装的

autorun.exe自动进行安装，然后选择需要安装的组件；也可以通过在命令行中直接运行Webinterface.exe来安装。

4、在进行Presentation Server 3.0升级到Presentation Server 4.0的安装过程中，提示"Installation ended prematurely because of an error."错误信息

原因分析：此问题是Citrix在运行一个CTX_MF_SetDefaultLicenseServerToHostName功能时出现问题，此功能主要是用于取得一个License Server的name，问题就是无法取得License Server的name从而返回一个错误

解决方法：可以通过命令行中指定licensing server，进行安装

Msiexec /i "<path to mps.msi>" CTX_MF_LICENSE_SERVER_NAME =<License Server Name> /l*v "<path to log file>"

5、当Citrix服务器要加入一个Farm或执行CHFARM时，FarmName是空白的无法显示：原因分析：因为Citrix data store采用的是SQL 2000，而在加入Farm过程中的用户不具有Citrix data store对应的SQL数据库的db_owner权限，导致无法通过SQL 2000 server的验证

解决方法：按照下面的步骤进行

1、 登陆SQL 2000 server的SQL企业管理器

2、 Microsoft SQL Servers > SQL Server 组 > 安全 > 登陆

3、 选择用于加入Citrix Farm时用的用户账号，右键属性

4、 选择“数据库访问”页签，这里列示出了所有数据库

5、 选择中Citrix data store对应的SQL数据库

6、 在“数据库角色中允许”选择中，选择上db_owner

二、应用配置问题

1、在citrix服务器上进入presentation server console时，提示下面的错误信息无法进

入主控台，是什么原因？

解决方法：该问题是因为citrix服务器上的IMA（Independent Management Architecture）服务没有启动造成的，需要在管理工具－服务中将该服务启动。

2、IMA服务不能正常启动的原因分析

当Independent Management Architecture (IMA)服务不能正常启动时，原因一般来说可以归纳为下面的几个方面：

（1）服务的启动时间

在服务管理中，察看到IMA服务提示不能正常启动，但该服务实际上已经启动，出现这样的情况，可以忽略该错误信息，此问题主要是服务控制管理中存在一个6分钟的超时，当IMA服务的启动因为网络延时等原因超出了此时间就会出现上述问题。

（2）注册表问题

打开windows注册表，检查下面的注册表键值：

HKEY_LOCAL_MACHINESOFTWARECitrixIMARuntimeCurrentlyLoadingPlugin

如果没有此键值，则会导致IMA服务启动时无法连接到相应的data store，需要添加上。

（3）丢失了临时目录

当启动MetaFrame XP Presentation Server时提示IMA服务无法启动，错误代码2147483649，主要是因为本地系统账户丢失了用来启动IMA服务的临时目录信息。可以通过在服务中，修改IMA服务的启动账户为本地系统账户然后重新启动服务器；如果IMA服务能够在本地系统账户下正常启动，那么很可能是因为本地系统账户丢失了临时目录，需要检查本地系统俄临时目录是否存在，例如：C:WinntTemp，如果不存在则需要手工创建。

（4）打印池服务

当MetaFrame XP Presentation Server启动IMA服务时提示“Setup Could Not Start The IMA Service”错误信息，此问题很可能是因为打印池服务（Print Spooler Service）不能正常启动造成的，需要在服务中先停止该服务再重新启动，请确保此服务的启动用户是本地系统账户。

（5）ODBC的配置

（1）当Citrix是应用SQL Server数据库时，需要验证数据库是否正常启动；

（2）查看注册表键值HKEY_LOCAL_MACHINESOFTWARECitrixIMADataSourceName是否记录的Citrix的应用数据库；

（3）通过ODBC数据源连接，测试是否能够连接Citrix的应用数据库

（6）漫游文件配置

当MetaFrame XP Presentation Server启动IMA服务时提示“Setup Could Not Start The IMA Service”错误信息，在事件查看器中出现类似“IMA_RESULT_INVALID_MESSAGE”的错误日志，需要检查一下漫游文件的大小，特别是通过WAN登陆的，可以尝试用本地用户配置文件登陆或配置文件较小的。

（7）同名服务器

篇三：2008日志处理问题

（Windows2008）从日志中发现一个DCOM服务错误，请大侠帮忙看看。谢谢！

Windows错误如下：应用程序-特定权限设置并未从地址LocalHost(使用 LRPC) 使用 CLSID {24FF4FDC-1D9F-4195-8C79-0DA39248FF48} 和 APPID

{B292921D-AF50-400C-9B75-0C57A7F29BA1} 向用户 NT AUTHORITYSYSTEM SID (S-1-5-18)授予对 COM 服务器应用程序的本地启动权限。此安全权限可以使用组件服务管理工具进行修改。

*********************************************************************************************

若要解决此问题，请按照下列步骤操作：

1. 单击开始，单击运行，键入dcomcnfg命令，然后单击确

定。

2. 展开组件服务，然后展开计算机。

3. 右键单击我的电脑，然后单击属性。

4. 在 COM 安全选项卡上单击 $ 启动和激活权限区域中的编辑默认

值。

5. 启动权限对话框中单击添加。

6. 在输入对象名称来选择框键入NETWORK，单击检查姓名框中，然后单击确定。

7. 在组或用户名称列表中单击网络服务。

8. 在网络服务的权限列表中单击以选中允许复选框的下列权

限：

? 本地启动

? 远程启动

? 本地激活

? 远程激活

9. 单击确定，单击确定，然后关闭组件服务。

如果仍然发生 DCOM 错误，请按照下列步骤操作：

1. 单击开始，单击运行，键入dcomcnfg命令，然后单击确

定。

2. 展开组件服务，展开计算机，然后展开 DCOM 配置。 3. 用鼠标右键单击netman，然后单击属性。

4. 在安全选项卡上单击启动和激活权限区域中的编辑。 5. 单击以选中允许复选框的下列权限：? 本地启动

? 本地激活

6. 单击以清除允许复选框的下列权限：? 远程启动

? 远程激活

7. 单击确定，单击确定，然后关闭组件服务。


《NT,AUTHORITY,SYSTEM用户代表什么》出自：百味书屋
链接地址：http://www.850500.com/news/71125.html
转载请保留,谢谢!