É um novo SID aplicado quando o sysprep-envia uma imagem do Windows ou quando implementa?

Navegue suas respostas
4

Atualmente, minha organização tem o Windows XP (sim, sei que o suporte oficial para ele é interrompido em menos de 24 horas) e imagens de sistema do Windows 7 feitas com o Symantec Ghost 11 que implantamos rotineiramente nas máquinas. Uma etapa obrigatória após a implantação é executar o NewSID para aplicar um novo SID ao sistema. Obviamente, uma maneira potencialmente melhor seria usar o sysprep para criar as imagens em primeiro lugar.

Eu tenho lido sobre o sysprep para o Windows XP e 7, e vejo que um novo SID é criado em algum momento se você usar a opção de linha de comando "/ generalize". O que gostaria de confirmar é: O novo SID é aplicado a uma implantação do sistema após , ou seja, se eu implantar e iniciar a imagem em 10 máquinas, eles obterão 10 SIDs diferentes? Além disso, isso é verdade tanto para o Windows XP como para o Windows 7?

Por último, eu também li (mas não consigo entender completamente) que existem tipos "diferentes" de SIDs. Então, um novo SID aplicado via NewSID é o mesmo que o do sysprep?

Agradecemos antecipadamente por suas respostas.

    
por hpy 07.04.2014 / 15:28

4 respostas

12

De: Sintaxe de linha de comando do Sysprep

/generalize Prepares the Windows installation to be imaged. If this option is specified, all unique system information is removed from the Windows installation. The security ID (SID) resets, any system restore points are cleared, and event logs are deleted.

The next time the computer starts, the specialize configuration pass runs. A new security ID (SID) is created, and the clock for Windows activation resets, if the clock has not already been reset three times.

Isso significa que na próxima reinicialização (após a implantação!) seu SID será redefinido. Suas máquinas receberão 10 SIDs diferentes, sim.

Existem vários tipos de SIDs. Os usuários têm SIDs, máquinas possuem SIDs, SIDs locais, SIDs de domínios e SIDs "especiais", mas o SID do qual você está falando (MachineSID) é o mesmo em sysprep e NewSID (SID da máquina)

    
por 07.04.2014 / 15:33
4

Existem SIDs de Máquina, SIDs de Serviço, SIDs de Domínio e SIDs de Usuário. NewSID e sysprep / generalize somente redefinir SIDs da máquina. Sim, esses são os mesmos SIDs da máquina e, sim, o sysprep altera o SID da máquina após a implantação.

No entanto, não é necessário alterar os SIDs da Máquina. De acordo com esta entrada de blog no TechNet por Mark Russinovich:

So is having multiple computers with the same machine SID a problem? The only way it would be is if Windows ever references the machine SIDs of other computers. For example, if when you connected to a remote system, the local machine SID was transmitted to the remote one and used in permissions checks, duplicate SIDs would pose a security problem because the remote system wouldn’t be able to distinguish the SID of the inbound remote account from a local account with the same SID (where the SIDs of both accounts have the same machine SID as their base and the same RID). However as we reviewed, Windows doesn’t allow you to authenticate to another computer using an account known only to the local computer. Instead, you have to specify credentials for either an account local to the remote system or to a Domain account for a Domain the remote computer trusts. The remote computer retrieves the SIDs for a local account from its own Security Accounts Database (SAM) and for a Domain account from the Active Directory database on a Domain Controller (DC). The remote computer never references the machine SID of the connecting computer.

In other words, it’s not the SID that ultimately gates access to a computer, but an account’s user name and password: simply knowing the SID of an account on a remote system doesn’t allow you access to the computer or any resources on it. As further evidence that a SID isn’t sufficient, remember that built-in accounts like the Local System account have the same SID on every computer, something that would be a major security hole if it was.

ThatGraemeGuy aqui no Server Fault concorda comigo.

Sério, você não precisa do NewSID. A Microsoft retirou o NewSID com base no fato de que não é necessário. A página de download do NewSID diz: "Observação : O NewSID foi aposentado e não está mais disponível para download. Consulte a postagem no blog de Mark Russinovich: NewSID Retirement e o Machine SID Duplation Myth. "

O Sysprep ainda se livra de coisas como aquelas chaves de registro que interferem no WSUS, no entanto. A Microsoft não suporta clonagem sem o sysprep.

Eu presumo da sua pergunta que você está esperando se livrar desse passo do NewSID (yay!) dizendo que o sysprep / generalize executa a mesma função. Isso é verdade, mas, esperamos que o NewSID não tenha suporte desde 2009, também ajudará você a se livrar dessa etapa desnecessária no processo de distribuição.

    
por 07.04.2014 / 15:53
2

Após a implantação. Senso comum. Se a generalização gerasse um novo SID, você teria que repeti-lo em todas as máquinas - o que seria totalmente contra o que a palavra significa.

Depois de generalizar, a máquina é generalizada e reinicializada na próxima inicialização. Então, você encerra, implanta e, em seguida, as imagens implantadas inicializam e geram uma nova máquina SID pe.

    
por 07.04.2014 / 15:33
-1

Há um laboratório SYSPREP sobre / generalize e SID:

link

    
por 14.12.2014 / 01:01

Tags

AH01630: cliente negado pela configuração do servidor Apache Script de bash para verificar se um site HTTPS público está ativo [fechado]