Le objectGUID est-il unique et changera-t-il jamais?

8

J'essaie d'identifier de manière unique les objets dans un domaine Active Directory. Le sAMAccountName ou l'adresse e-mail peut malheureusement changer, tout comme le objectSid. Mais j'ai vu qu'il y a aussi un objectGUID.

Je me demande simplement: cela peut-il changer pour une raison quelconque, ou puis-je supposer que cela ne changera jamais?

La raison pour laquelle je pose la question est que je fais référence à certains objets AD d'une application et que je dois revenir des semaines ou des mois plus tard et toujours obtenir l'objet, mais l'application ne peut aucun moyen d'être notifié des modifications. J'ai donc besoin d'une valeur qui ne change jamais.

active-directory Michael Stum
la source
Quand et pourquoi le objectSID changerait-il jamais et comment cela se produirait-il?
joeqwerty
@joeqwerty Voir la réponse de Matt Simmons. Les SID peuvent changer et changent, il y a donc même un champ AD pour les "SID précédents". Je ne connais pas les causes exactes, mais certaines modifications du domaine peuvent changer le SID. J'ai eu du "fun" avec ça: serverfault.com/questions/75912
Michael Stum
Cela avait du sens et si j'y avais réfléchi un peu plus, je n'aurais pas eu besoin de demander. ;) Merci beaucoup.
joeqwerty

Réponses:

15

http://technet.microsoft.com/en-us/library/cc961625.aspx?ppud=4

Pour copier et coller: les SID peuvent parfois changer. Le SID d'un objet Group ne changera pas. Les valeurs des autres propriétés d'objet peuvent changer, mais l'Object-GUID ne change jamais. Lorsqu'un objet se voit attribuer un GUID, il conserve cette valeur à vie.

Matt Simmons
la source
C'est la ligne importante: "La raison d'utiliser des SID du tout, et non des GUID, est pour la compatibilité descendante." - aussi: "[objectGUID] qui est unique non seulement dans l'entreprise mais aussi à travers le monde" - Merci!
Michael Stum
1

Si un GUID lui est associé, il ne devrait jamais changer car GUID signifie Globally Unique Identifier

Nunya
la source
0

Le GUID ne devrait pas changer si vous quittez l'ordinateur en tant que membre du domaine et le renommez, mais comme indiqué le retirer du domaine et l'ajouter à nouveau dans un nouvel objet.

Owen
la source
-1

"Lorsqu'un objet se voit attribuer un GUID, il conserve cette valeur à vie."

Je ne sais pas à quel point c'est vrai. J'ai testé cela en ajoutant un ordinateur à un domaine AD et en enregistrant le GUID. J'ai ensuite supprimé l'ordinateur du domaine, l'ai renommé, puis je l'ai rajouté au même domaine. Le GUID était différent sur l'ordinateur. Je suis curieux de savoir si quelqu'un d'autre peut le vérifier également.

SilverDragon
la source
1
C'est comme ça parce que vous avez supprimé et recréé l'objet, donc ce n'est plus le même objet (comme en témoigne le nouveau GUID). L'objet n'est pas l'ordinateur, mais le compte de l'ordinateur dans le domaine.
Falcon Momot