Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec – ghostwalk. Prostsze i przyjemniejsze – zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

Później przyszła era internetu i prostych narzędzi z Sysinternals – w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie – do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa – chociażby po to aby wymusić aktywacje systemu.

Zachęcam też do orginalnego artykuły Marka Russinovicha  – The Machine SID Duplication Myth

Spread the love

Comments (8)

  1. GT

    Odpowiedz

    Znaczy się, że tysiącom administratorów, do tej pory się zdawało?
    A najrozmaitsze problemy ze zduplikowanymi SIDami to tylko kwestia sugestii ze strony marketingu Microsoft?

  2. kojn

    Odpowiedz

    ehhh dobra … sam OS to nie wszystko, na system przecież nakłada się aplikacje … ciekawe, że MS zapomniał o swoich prosuktach takich jak SQL (pewnei głównie w starszych wersjach (nie testowałem z 2008) oraz masy aplikacji pisanych w technologiach .net i pokrewnych … jednym słowem, cholera wie tych programistów co i jak będą sobie identyfikować. Więc jeśłi mówimy o “normalnym komputrze biurowym” to … można spróbować.. ale przy klonach całych środowisk … nie ryzykowałbym

  3. Pingback: ITblog : Koniec z NewSID

  4. Odpowiedz

    a ja wiem na pewno, że dwa DC nie mogą mieć tego samego SIDa bo podczas próby dodania od razu wywala błąd.

Pozostaw odpowiedź GT Anuluj pisanie odpowiedzi

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.