NewSid nie potrzebny?

Klonując dyski z systemami Windows, Microsoft od zawsze ostrzegał nas o konieczności używania narzędzia systemowego Sysprep. Narzędzie to, oprócz sprzątania zależności sprzętowych w systemie, miało też generować nowy SID.

Oczywiście nie wszyscy admiistratorzy używali sysprep. Niektórzy, wliczając w tym mnie, woleli używać narzedzia firmy Symantec – ghostwalk. Prostsze i przyjemniejsze – zamiast sprzątać w całym systemie, po prostu zmieniało SID komputera w trybie offline.

Później przyszła era internetu i prostych narzędzi z Sysinternals – w tym graficznego narzędzia NewSID. Proste, okienkowe, i działało. SID komputera był bez problemu zmieniany, podobnie jak nazwa komputera.

Aż pewnego pięknego dnia Mark Russinovitch zadał sobie pytanie – do czego jest wogóle komputerowi zmiana SID-a? Przecież konta systemowe, czy konta specjalne mają taki sam sid na każdym komputerze. A jednak się wszystko działa. Wykorzystując to że Microsoft kiedyś przejął Sysinternals, Mark postanowił zapytać się grupy produktoweco daje zmiana SID-u, i dlaczego jest wymagana. Nikt mu nie odpoiwedział. Po kilku testach które wykonał, okazało się że zmiana SID-u na komputerze nie jest wykorzystywana. Przez sieć przy uwierzytelnianiu nigdy nie są przekazywane SID-y w czystej formie. Jedyny wyjątek stanowią urządzenia przenośne, ale kto jeszcze wierzy że uprawnienia na pendrivie przy zapisie NTFS będą respektowane przez system operacyjny, a użytkownik nie nadpiszę ich po prostu korzystając z uprawnień administracyjnych na innej stacji?

W związku z tym NewSid został wycofany, nie przez to że nadszedł jego kres, a po prostu dla tego że wymiana SID-u na komputerze była jedną wielką mystifikacją microsoftu mającą na celu zmuszenie administratorów do używania sysprepa – chociażby po to aby wymusić aktywacje systemu.

Zachęcam też do orginalnego artykuły Marka Russinovicha  – The Machine SID Duplication Myth