我的组织目前拥有Windows XP(是的,我知道官方对它的支持在不到24小时内就停止了),而我们经常部署到计算机上的Windows 7系统映像是由Symantec Ghost 11制作的。 部署后需要的步骤是运行NewSID以将新的SID应用于系统。 显然,更好的方法是使用sysprep将图像放在第一位。
我一直在阅读关于Windows XP和7的sysprep,并且如果使用“/ generalize”命令行选项,我会发现在某个时候会创build一个新的SID。 我想确认的是:部署后是否将新SID应用于系统,也就是说,如果我在10台机器上部署和启动映像,他们将获得10个不同的SID? 另外,对于Windows XP和Windows 7都是如此?
最后,我也读过(但不能完全理解)有不同种类的SID。 那么通过NewSID应用的新SID是否与sysprep相同?
预先感谢您的回答。
从: Sysprep命令行语法
/ generalize准备映像的Windows安装。 如果指定了此选项,则将从Windows安装中删除所有唯一的系统信息。 安全ID(SID)重置,清除任何系统还原点,并删除事件日志。
计算机下次启动时,将运行specializeconfiguration阶段。 如果时钟尚未重置三次,则会创build一个新的安全ID(SID),并激活Windows激活时钟。
这意味着在下一次重新启动(部署后!)您的SID将重置。 你的机器会得到10个不同的SID,是的。
有多种SID的。 用户有SID,机器有SID,有本地SID,域SID,还有“特殊”的SID,但是你说的SID(MachineSID)在sysprep和NewSID(Machine SID)
有机器SID,服务SID,域SID和用户SID。 NewSID和sysprep / generalize只能重置机器SID。 是的,这些是相同的机器SID,是的,sysprep在部署后更改机器SID。
但是,更改机器SID不是必需的。 根据Mark Russinovich在TechNet上的这篇博客文章 :
那么是有多台计算机具有相同的机器SID的问题? 唯一的办法是,如果Windows曾经引用其他计算机的机器SID。 例如,如果连接到远程系统时,本地机器的SID被传送到远程系统,并用于权限检查,重复的SID会造成安全问题,因为远程系统将无法区分来自具有相同SID的本地帐户的入站远程帐户(两个帐户的SID具有与其基础和相同RID相同的机器SID)。 但是,正如我们所述,Windows不允许您使用仅为本地计算机所知的帐户向另一台计算机进行身份validation。 相反,您必须为远程系统本地的帐户或远程计算机信任的域的域帐户指定凭据。 远程计算机从其自己的安全帐户数据库(SAM)检索本地帐户的SID,并从域控制器(DC)上的Active Directory数据库检索域帐户。 远程计算机不会引用连接计算机的计算机SID。
换句话说,SID不是最终限制对计算机的访问权限,而是帐户的用户名和密码:只要知道远程系统上的帐户的SID,就不允许您访问计算机或其上的任何资源。 作为SID不足的进一步证据,请记住像本地系统帐户这样的内置帐户在每台计算机上都具有相同的SID,如果是这样的话,这将是一个主要的安全漏洞。
服务器故障的ThatGraemeGuy在这里同意我的观点。
真的,你不需要NewSID。 微软已经退休的NewSID,理由是没有必要。 NewSID下载页面说:“注意:NewSID已经停用,不再可供下载,请参阅Mark Russinovich的博客文章:NewSID退休和机器SID复制神话。
但是,Sysprep仍然会摆脱干扰WSUS的讨厌的registry项。 没有sysprep,微软不支持克隆。
我认为从你的问题,你希望摆脱这个NewSID步骤(耶!)说,sysprep / generalize执行相同的function。 这是真的,但希望指出,自2009年以来,NewSID一直不受支持,也将帮助您摆脱推出过程中不必要的一步。
部署后。 常识。 如果泛化会产生一个新的SID,那么你将不得不在每一台机器上重复它 – 这完全违背了这个词的意思。
概括起来,机器被广义化,然后在下次启动时重新初始化。 因此,您closures,部署,然后 – 部署的映像启动并生成一个新的SID pe机器。
有一个关于/概括和SID的SYSPREP实验: