关于SidHistory

先说明一下什么是SID历史，SID不可能重复，二个域迁移为了保持原有域的安全性微软在对象的属性中添加了SidHistory这一属性，其实SidHistory也就是原域的SID。如果在做二个森林之间的帐号迁移（使用ADMT2.0）且做了双向信任并加了/EnableSidHistory参数，WIN2000SP4/WIN2003默认会做FilterSIDs的操作，此时迁移帐号时会过滤掉源域的SID，即在迁移完成之后，目标域使用帐号登陆源域时会将SID过滤掉即在访问令牌中不封装源域中存在该成员组的SID，所以会拒绝访问。解决方法是在做域信任时关闭SID过滤即使用/FilterSIDs no参数。可以参考KB322970 ，这个问题也让我郁闷了好几天。微软Teched上所有的迁移实例都是从WINNT>WIN2003而没有从WIN2000＞WIN2003，这才怪了。且做域信任时必需使用WINXP中的netdom工具，WIN2000/WIN2003盘中带的netdom工具里根本没有FilterSIDs no这个参数，具体原因只能问微软了。