大家都知道,用户访问共享文件夹等时并不是根据用户名来断定其访问权限,而是根据一个叫SID的东西来判断用户最终的访问权限,SID---安全标识符,任意一个域用户的SID号是由域的ID+用户的ID号共同组成,如下所示:
S-1-5-21-3698344474-843673033-3679835876-500
其中这三段数字是域的ID号,后面的ID500是用户的,在这里就是管理员的ID号。
那么这个ID号是由谁分发的呢?其实是由一个叫RID操作主机的服务器来负责分发的。关于操作主机的知识各位可以在本站里去找。

    下面我说几个可以查看SID号的命令:

    (1)whoami /user   查看当前用户的SID

    (2)whoami /all   查看当前用户的SID及所属组的SID。

   (3)getsid \\dc1 jam \\dc2 jam      查看指定用户的SID。这个工具需要安装03的支持工具方可使用。

    (4)psgetsid tom ( 第三方工具 ,需要下载)

    (5)利用dsget user来完成,如下图所示:
注意这条命令的使用,必须写用户的DN名,有关这个名字的含义,各位可以查阅《活动目录系列之一:基本概念》篇。
    (6)ldp 可以查看某个域分区下的所有用户的SID号。具体操作:
     运行ldp后, 连接服务器 bind 用户身份 view--tree 查看 domain 分区 然后双击某一对象。
共计三步操作:如下图所示:
第一步: 运行LDP后:
第二步:再次单击connection--Bind,输入管理员信息,如下图:
第三步:再次单击View-Tree,选择相应目录分区,如下图所示:

单击确定后,如下图所示,展开相应的子项,选择相应的用户,如管理员,双击后,在右面就能看该用户所有属性,包括SID。

有关LDP.exe和getsid.exe这两个工具,各位可以到03光盘的这个目录下找到support工具包,并安装上。如下图光盘目录:

至于psgetsid.exe文件,各位可以从附件下载。
注:该文件下载后,改名为psgetsid.exe,放到%windir%\system32下即可直接使用。
    (7)在域环境下,在DC上注册acctinfo.dll动态链接库,为用户增加有关SID等信息的属性。注册命令: regsvr32 acctinfo.dll (该dll文件在Windows Resource Kit Tools内存在,可以到微软网站上下载并安装之),当注册成功后,可以打开dsa.msc,双击一个用户,如下图所示:

当然在这个属性段里,我们还可以看到很多实用的值,如该用户曾经登录的次数等。

    其实,明白了多种查看SID的方法后,更大的收获应该是从不同方法中我们得到了更多其它方面的知识,希望这篇文档能带给你更多的遐想。

    后记:最后这种方法,也是得益于另一位博友的http://beacon.blog.51cto.com/442731/116217,各位可以参考。

    没有想到,在我写之前这位朋友已经写了一篇,呵呵~帖出来和各位共享。