O objectGUID é único e nunca será alterado?

8

Estou tentando identificar exclusivamente objetos em um domínio do Active Directory. Infelizmente, o sAMAccountName ou o endereço de email podem ser alterados, assim como o objectSid. Mas vi que também existe um objectGUID.

Eu me pergunto: isso pode mudar por qualquer motivo, ou posso assumir que isso nunca vai mudar?

O motivo pelo qual estou perguntando é que estou fazendo referência a alguns objetos do AD de um aplicativo e preciso voltar semanas ou meses depois e ainda obter o objeto, mas o aplicativo não pode ter nenhuma maneira de ser notificado sobre alterações. Então, eu preciso de um valor que nunca mude.

active-directory Michael Stum
fonte
Quando e por que o objectSID mudaria e como isso ocorreria?
joeqwerty
@joeqwerty Veja a resposta de Matt Simmons. Os SIDs podem ser alterados e, portanto, existe até um campo AD para "SIDs anteriores". Não sei as causas exatas, mas certas alterações no domínio podem alterar o SID. Eu me diverti um pouco com isso: serverfault.com/questions/75912
Michael Stum
Faz sentido e se eu tivesse pensado um pouco mais sobre isso, não precisaria perguntar. ;) Muito obrigado.
precisa saber é o seguinte

Respostas:

15

http://technet.microsoft.com/en-us/library/cc961625.aspx?ppud=4

Para copiar e colar: os SIDs às vezes podem mudar. O SID para um objeto de grupo não será alterado. Os valores de outras propriedades do objeto podem mudar, mas o Object-GUID nunca muda. Quando um objeto recebe um GUID, ele mantém esse valor por toda a vida.

Matt Simmons
fonte
Essa é a linha importante: "O motivo para usar os SIDs, e não os GUIDs, é a compatibilidade com versões anteriores". - também: "[objectGUID] exclusivo não apenas na empresa, mas também em todo o mundo" - Obrigado!
Michael Stum
1

Se houver um GUID associado a ele, ele nunca deverá mudar, pois GUID significa Globally Unique Identifier

Nunya
fonte
0

O GUID não deve mudar se você deixar o computador como membro do domínio e renomeá-lo, mas, como indicado, remova-o do domínio e inclua-o novamente em um novo objeto.

Owen
fonte
-1

"Quando um objeto recebe um GUID, ele mantém esse valor por toda a vida."

Não tenho certeza de como isso é verdade. Testei isso adicionando um computador a um domínio do AD e gravando o GUID. Em seguida, removi o computador do domínio, renomei-o e adicionei-o novamente ao mesmo domínio. O GUID era diferente no computador. Estou curioso para saber se alguém pode verificar isso também.

Dragão Prateado
fonte
11
É assim porque você removeu o objeto e o criou de novo, portanto, não é mais o mesmo objeto (como evidenciado pelo novo GUID). O objeto não é o computador, mas a conta do computador no domínio.
Falcon Momot