Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec – ghostwalk. Prostsze i przyjemniejsze – zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

Później przyszła era internetu i prostych narzędzi z Sysinternals – w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie – do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa – chociażby po to aby wymusić aktywacje systemu.

Zachęcam też do orginalnego artykuły Marka Russinovicha  – The Machine SID Duplication Myth

Spread the love

Comments (8)

  1. GT

    Odpowiedz

    Znaczy się, że tysiącom administratorów, do tej pory się zdawało?
    A najrozmaitsze problemy ze zduplikowanymi SIDami to tylko kwestia sugestii ze strony marketingu Microsoft?

  2. kojn

    Odpowiedz

    ehhh dobra … sam OS to nie wszystko, na system przecież nakłada się aplikacje … ciekawe, że MS zapomniał o swoich prosuktach takich jak SQL (pewnei głównie w starszych wersjach (nie testowałem z 2008) oraz masy aplikacji pisanych w technologiach .net i pokrewnych … jednym słowem, cholera wie tych programistów co i jak będą sobie identyfikować. Więc jeśłi mówimy o “normalnym komputrze biurowym” to … można spróbować.. ale przy klonach całych środowisk … nie ryzykowałbym

  3. Pingback: ITblog : Koniec z NewSID

  4. Odpowiedz

    a ja wiem na pewno, że dwa DC nie mogą mieć tego samego SIDa bo podczas próby dodania od razu wywala błąd.

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Time limit is exhausted. Please reload CAPTCHA.