Моя организация в настоящее время использует Windows XP (да, я знаю, что официальная поддержка прекращается менее чем через 24 часа) и системные образы Windows 7, созданные с помощью Symantec Ghost 11, которые мы регулярно развертываем на машинах. Обязательный шаг после развертывания - запустить NewSID, чтобы применить новый SID к системе. Очевидно, потенциально лучшим способом было бы в первую очередь использовать sysprep для создания изображений.
Я читал о sysprep как для Windows XP, так и для 7, и вижу, что новый SID создается в какой-то момент, если вы используете параметр командной строки «/ generalize». Я хотел бы подтвердить следующее: применяется ли новый SID к системе? после развертывание, т.е. если я разверну и запустил образ на 10 машинах, они получат 10 разных SID? Кроме того, верно ли это как для Windows XP, так и для Windows 7?
Наконец, я также читал (но не могу полностью понять), что существуют «разные» типы SID. Итак, новый SID, применяемый через NewSID, такой же, как и через sysprep?
Заранее благодарю за ответы.
Из : Синтаксис командной строки Sysprep
/ generalize Подготавливает установку Windows к созданию образа. Если указан этот параметр, вся уникальная системная информация удаляется из установки Windows. Идентификатор безопасности (SID) сбрасывается, все точки восстановления системы очищаются, а журналы событий удаляются.
При следующем запуске компьютера запускается этап настройки specialize. Создается новый идентификатор безопасности (SID), и часы для активации Windows сбрасываются, если часы еще не сбрасывались три раза.
Это означает, что при следующей перезагрузке (после развертывания!) Ваш SID будет сброшен. Да, ваши машины получат 10 разных SID.
Есть несколько типов SID. У пользователей есть идентификаторы безопасности, у компьютеров есть идентификаторы безопасности, есть локальные идентификаторы безопасности, идентификаторы безопасности домена и есть «специальные» идентификаторы безопасности, но идентификаторы безопасности, о которых вы говорите (MachineSID), одинаковы в sysprep и NewSID (Machine SID)
Существуют идентификаторы безопасности компьютера, идентификаторы безопасности служб, идентификаторы безопасности домена и идентификаторы безопасности пользователя. NewSID и sysprep / generalize сбрасывают только идентификаторы безопасности машины. Да, это те же идентификаторы безопасности компьютера, и да, sysprep изменяет идентификатор безопасности компьютера после развертывания.
Однако изменять SID машины не нужно. В соответствии с эта запись в блоге в TechNet от Марка Руссиновича:
Так является ли проблема наличия нескольких компьютеров с одним и тем же SID? Единственный способ сделать это, если Windows когда-либо будет ссылаться на идентификаторы безопасности других компьютеров. Например, если при подключении к удаленной системе SID локального компьютера был передан на удаленный и использовался при проверке разрешений, дублирующиеся SID могут создать проблему безопасности, поскольку удаленная система не сможет различить SID входящая удаленная учетная запись из локальной учетной записи с тем же SID (где SID обеих учетных записей имеют тот же SID компьютера, что и их базовая, и тот же RID). Однако, как мы видели, Windows не позволяет вам проходить аутентификацию на другом компьютере, используя учетную запись, известную только локальному компьютеру. Вместо этого вы должны указать учетные данные либо для учетной записи, локальной для удаленной системы, либо для учетной записи домена для домена, которому доверяет удаленный компьютер. Удаленный компьютер извлекает идентификаторы безопасности для локальной учетной записи из своей собственной базы данных учетных записей безопасности (SAM) и для учетной записи домена из базы данных Active Directory на контроллере домена (DC). Удаленный компьютер никогда не ссылается на SID подключаемого компьютера.
Другими словами, не SID, в конечном счете, обеспечивает доступ к компьютеру, а имя пользователя и пароль учетной записи: простое знание SID учетной записи в удаленной системе не дает вам доступа к компьютеру или каким-либо ресурсам на нем. В качестве дополнительного доказательства того, что SID недостаточно, помните, что встроенные учетные записи, такие как учетная запись Local System, имеют одинаковый SID на всех компьютерах, что было бы серьезной дырой в безопасности, если бы это было так.
ThatGraemeGuy здесь, на Server Fault, со мной согласен.
Серьезно, вам не нужен NewSID. Microsoft удалила NewSID на том основании, что в нем нет необходимости. На странице загрузки NewSID написано: «Примечание. NewSID больше не доступен для загрузки. См. Сообщение в блоге Марка Руссиновича: Уничтожение NewSID и миф о дублировании SID компьютеров».
Однако Sysprep по-прежнему избавляется от таких надоедливых ключей реестра, которые мешают работе WSUS. Microsoft не поддерживает клонирование без sysprep.
Из вашего вопроса я предполагаю, что вы надеетесь избавиться от этого шага NewSID (ура!), Сказав, что sysprep / generalize выполняет ту же функцию. Это правда, но мы надеемся, что указание на то, что NewSID не поддерживается с 2009 года, также поможет вам избавиться от этого ненужного шага в процессе развертывания.
После развертывания. Здравый смысл. Если бы в результате обобщения был сгенерирован новый SID, вам пришлось бы повторять его на каждой машине, что как бы полностью противоречило бы значению этого слова.
После генерализации машина обобщается, а затем повторно инициализируется при следующей загрузке. Итак, вы завершаете работу, развертываете, а затем - развернутые образы загружаются и генерируют новую машину SID pe.
Лаборатория SYSPREP посвящена / generalize и SID: