Как изменить SID развернутого сервера?
Мне нужно было установить две виртуальные машины и наивно просто настроить одну с нуля, убедиться, что она работает правильно, а затем скопировать ее на другой хост. Теперь появляется сообщение «сбой доверительных отношений между этой рабочей станцией и основным доменом», что, по-видимому, связано с тем, что SID одинаков на обеих машинах. Я огляделся и увидел много противоречивой информации о sysprep и способах разрешения на этом этапе.
Могу я просто обновить SID машины, у которой проблемы с доменом, и тогда все будет хорошо? Если да, то как я могу этого добиться? Спасибо
Единственный поддерживаемый Microsoft способ изменить SID компьютера - это запустить sysprep с параметром / generalize.
редактировать: Итак .. уточнение. Это восходит к идее о том, что SID компьютера действительно не имеет значения (кроме контроллеров домена), потому что на самом деле имеет значение SID учетной записи компьютера в домене, а не сам SID компьютера / компьютера. Удаление / удаление / повторное присоединение к компьютеру создаст уникальный SID учетной записи компьютера в домене и действительно решит его проблему. Но с технической точки зрения это не будет создавать новый SID для самого компьютера.
Марк Руссинович обсуждали уникальный машинный SID "миф" и есть продолжение статья от другого автора, который более подробно описывает. Наконец, есть этот Сообщение MSDN, которое, как я считаю, довольно четко иллюстрирует SID учетной записи компьютера и домена.
Лично я столкнулся с проблемой дублирования SID, когда клонированная система использовалась для создания контроллера домена для нового домена в начале проекта миграции домена, а серверы в исходном домене не могли аутентифицировать пользователей в новом целевой домен или присоединиться к целевому домену из-за дублирования SID. Так что в 99% случаев это не имеет значения ... но когда это имеет значение, это отстой. В результате я по-прежнему рекомендую пользователям создавать новые идентификаторы безопасности компьютеров, когда они могут это сделать.
«Могу я просто обновить SID машины, у которой проблемы с доменом, и тогда все будет хорошо? Если да, то как я могу это сделать?»
Да, ты можешь. В Active Directory вам нужно будет удалить компьютерный объект проблемного сервера, а затем снова присоединить его к домену. Это даст вам новый SID для сервера. Однако при этом создается новый объект «Компьютер» для вашего сервера, поэтому все его членство в группах, разрешения и т. Д. Необходимо будет воссоздать, поскольку он имеет новый SID. Active Directory не видит его как один и тот же сервер.
ИЗМЕНИТЬ Я выполнил свои инструкции и обнаружил, что моему серверу был выдан новый SID. Мой лес - это уровень Windows Server 2012.
Прежде, чем я удалил свой сервер из AD и удалил его из домена 
SID после повторного присоединения к домену. 
Мне пришлось перезапускать два раза после возвращения в домен. Итак, для меня компьютер получает новый SID из Active Directory после
- удаление объекта компьютера в AD
- Удаление из домена
- Повторное присоединение к домену
Если экземпляр не занят или это новая установка, запустите C: \ Windows \ system32> Sysprep \ sysprep.exe и проверьте обобщать
Посмотрите на духовного преемника NewSID, SIDCHG:
Утилита командной строки для изменения SID локального компьютера и имени компьютера для Windows 2016/10 / 8.1 / 2012 R2 / 8/2012/7/2008 R2 / 2008 / Vista / 2003 / XP. Он заменяет текущий SID компьютера новым случайным SID. Кроме того, он изменяет идентификатор WSUS для обновлений Windows, MachineGuid, идентификатор устройства для современных приложений Windows, MSDTC CID, Dhcpv6 DUID и состояние шифрования для сохранения зашифрованных файлов, настроек Центра действий Windows, сертификатов и других зашифрованных данных. Информация.
Скачайте NewSID с любого сайта. Перейдите к учетной записи локального администратора, у которого есть проблема с SID, запустите этот инструмент и перезагрузите компьютер. Теперь система сможет получить доступ к учетной записи домена.