Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.
Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec - ghostwalk. Prostsze i przyjemniejsze - zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.
Później przyszła era internetu i prostych narzędzi z Sysinternals - w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.
Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie - do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?
W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa - chociażby po to aby wymusić aktywacje systemu.
Zachęcam też do orginalnego artykuły Marka Russinovicha - The Machine SID Duplication Myth
Znaczy się, że tysiącom administratorów, do tej pory się zdawało?
A najrozmaitsze problemy ze zduplikowanymi SIDami to tylko kwestia sugestii ze strony marketingu Microsoft?
cos tu nie gra …
ehhh dobra … sam OS to nie wszystko, na system przecież nakłada się aplikacje … ciekawe, że MS zapomniał o swoich prosuktach takich jak SQL (pewnei głównie w starszych wersjach (nie testowałem z 2008) oraz masy aplikacji pisanych w technologiach .net i pokrewnych … jednym słowem, cholera wie tych programistów co i jak będą sobie identyfikować. Więc jeśłi mówimy o “normalnym komputrze biurowym” to … można spróbować.. ale przy klonach całych środowisk … nie ryzykowałbym
[…] Komentarz pekiego można znaleźć na W-Files, ja natomiast zacytuję fragment blogu Marka, który podsumowuje jego artykuł: It’s a little surprising that the SID duplication issue has gone unquestioned for so long, but everyone has assumed that someone else knew exactly why it was a problem. To my chagrin, NewSID has never really done anything useful and there’s no reason to miss it now that it’s retired. Microsoft’s official policy on SID duplication will also now change and look for Sysprep to be updated in the future to skip SID generation as an option. Note that Sysprep resets other machine-specific state that, if duplicated, can cause problems for certain applications like Windows Server Update Services (WSUS), so Microsoft support policy will still require cloned systems to be made unique with Sysprep. Tagi: Blog, fragment, komentarz, Microsoft, narzędzia, NewSID, support, technet, windows, wsparcie showJobs(’workit-container’, ‘workit-list’); […]
Polecam poczytać sobie komentarze pod wpisem na blogu Russinovitch.
a ja wiem na pewno, że dwa DC nie mogą mieć tego samego SIDa bo podczas próby dodania od razu wywala błąd.
Nexor toż to właśnie zostało napisane w komentarzach do posta Marka xD
i know. najpierw wpisalem a potem zaczalem czytac komentarze q: