4 votes

Un nouveau SID est-il appliqué lors du sysprep-ping d'une image Windows ou lors du déploiement ?

Mon organisation possède actuellement des images système de Windows XP (oui, je sais que le support officiel de ce système prend fin dans moins de 24 heures) et de Windows 7 créées avec Symantec Ghost 11 que nous déployons régulièrement sur des machines. Une étape obligatoire après le déploiement consiste à exécuter NewSID pour appliquer un nouveau SID au système. Il est évident qu'une meilleure solution serait d'utiliser sysprep pour créer les images en premier lieu.

Je me suis renseigné sur sysprep pour Windows XP et 7, et je vois qu'un nouveau SID est créé à un moment donné si vous utilisez l'option de ligne de commande "/generalize". Ce que j'aimerais confirmer, c'est que le nouveau SID est appliqué à un système après c'est-à-dire que si je déploie et démarre l'image sur 10 machines, elles auront 10 SID différents ? En outre, cela est-il vrai pour Windows XP et Windows 7 ?

Enfin, j'ai également lu (mais je n'arrive pas à bien comprendre) qu'il existe " différents " types de SID. Ainsi, un nouveau SID appliqué via NewSID est-il le même que celui appliqué par sysprep ?

Merci d'avance pour vos réponses.

12voto

MichelZ Points 10938

De : Syntaxe de la ligne de commande Sysprep

/generalize Prépare l'installation Windows à être imagée. Si cette option est spécifiée, toutes les informations système uniques sont supprimées de l'installation l'installation Windows. L'identifiant de sécurité (SID) est réinitialisé, les points de restauration système sont effacés et les journaux d'événements sont supprimés.

La prochaine fois que l'ordinateur démarre, la configuration spécialisée passe s'exécute. Un nouvel ID de sécurité (SID) est créé, et l'horloge pour l'activation de Windows Windows se réinitialise, si l'horloge n'a pas déjà été réinitialisée trois fois. fois.

Cela signifie qu'au prochain redémarrage (après le déploiement !), votre SID sera réinitialisé. Vos machines auront 10 SIDs différents, oui.

Il existe plusieurs types de SID. Les utilisateurs ont des SID, les machines ont des SID, il y a des SID locaux, des SID de domaine, et il y a des SID "spéciaux", mais le SID dont vous parlez (MachineSID) est le même dans sysprep et NewSID (Machine SID).

4voto

Katherine Villyard Points 18470

Il existe des SID de machine, des SID de service, des SID de domaine et des SID d'utilisateur. NewSID et sysprep /generalize ne réinitialisent que les SID de machine. Oui, ce sont les mêmes SID de machine, et oui, sysprep change le SID de machine après le déploiement.

Cependant, il n'est pas nécessaire de changer les SID des machines. Selon cet article de blog sur TechNet par Mark Russinovich :

Le fait d'avoir plusieurs ordinateurs avec le même SID constitue-t-il un problème ? La seule possibilité est que Windows fasse référence aux SID des autres ordinateurs. d'autres ordinateurs. Par exemple, si lorsque vous vous connectez à un système distant, le SID de la machine locale était transmis à la machine distante et utilisé dans les contrôles de permissions, les SIDs dupliqués poseraient un problème de sécurité sécurité car le système distant ne serait pas en mesure de distinguer le SID du compte distant entrant d'un compte local ayant le même SID (où les SID des deux comptes ont le même SID de machine comme base et le même RID). machine comme base et le même RID). Cependant, comme nous l'avons vu, Windows ne permet pas Windows ne vous permet pas de vous authentifier sur un autre ordinateur en utilisant un compte connu connu uniquement de l'ordinateur local. Au lieu de cela, vous devez spécifier les informations d'identification pour un compte local du système distant ou pour un compte de domaine. d'un domaine auquel l'ordinateur distant fait confiance. L'ordinateur distant récupère les SID d'un compte local dans sa propre base de données Security Accounts base de données SAM (Security Accounts Database) et pour un compte de domaine de la base de données Active Directory d'un contrôleur de domaine (DC). L'ordinateur distant ne ne fait jamais référence au SID de la machine de l'ordinateur connecté.

En d'autres termes, ce n'est pas le SID qui, en fin de compte, bloque l'accès à un site Web. ordinateur, mais le nom d'utilisateur et le mot de passe d'un compte : le simple fait de connaître le SID d'un compte sur un système distant ne vous permet pas d'accéder à l'ordinateur ordinateur ou à ses ressources. Comme preuve supplémentaire qu'un SID n'est pas suffit pas, rappelez-vous que les comptes intégrés tels que le compte du système ont le même SID sur tous les ordinateurs, ce qui serait un trou de sécurité majeur si c'était le cas. une faille de sécurité majeure si c'était le cas.

ThatGraemeGuy ici sur Server Fault est d'accord avec moi.

Sérieusement, vous n'avez pas besoin de NewSID. Microsoft a retiré NewSID au motif qu'il n'est pas nécessaire. La page de téléchargement de NewSID indique : "Note : NewSID a été retiré et n'est plus disponible au téléchargement. Veuillez consulter l'article du blog de Mark Russinovich : NewSID Retirement and the Machine SID Duplication Myth".

Sysprep permet toutefois de se débarrasser de certaines choses comme les clés de registre qui interfèrent avec WSUS. Microsoft ne prend pas en charge le clonage sans sysprep.

Je suppose, d'après votre question, que vous espérez vous débarrasser de cette étape NewSID (youpi !) en disant que sysprep /generalize remplit la même fonction. C'est vrai, mais j'espère que le fait de signaler que NewSID n'est plus pris en charge depuis 2009 vous aidera également à vous débarrasser de cette étape inutile dans votre processus de déploiement.

2voto

TomTom Points 50635

Après le déploiement. Le bon sens. Si la généralisation devait générer un nouveau SID, il faudrait la répéter sur chaque machine - ce qui irait en quelque sorte à l'encontre de la signification du mot.

Après la généralisation, la machine est généralisée puis se réinitialise au prochain démarrage. Donc vous arrêtez, déployez et ensuite - les images déployées démarrent et génèrent un nouveau SID pour la machine.

-1voto

AdrianM Points 1

Il y a un laboratoire SYSPREP sur /generalize et SID :

http://www.sysadmit.com/2014/11/Windows-sysprep-sid.html

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X