Академический Документы
Профессиональный Документы
Культура Документы
EASYINSTALL
Далее оно автоматом
Перезагрузка
Пойти с паролем
Отключить
2ВТОРУЮ МАШИНКУ (КАСТОМ)
3ВТОРУЮ – КЛОНИРОВАНИЕМ
Важно!
В отношении идентификаторов SID корпорация Майкрософт не поддерживает образы, подготовленные с
использованием программы NewSID. Поддерживаются только образы, подготовленные с помощью
программы SysPrep. Корпорация Майкрософт не проводила тестирование программы NewSID во всех
вариантах клонирования при развертывании.
Введение
Многие организации используют клонирование образов дисков для выполнения массовой установки ОС
Windows. Эта методика предполагает копирование диска компьютера с полностью установленной и
настроенной ОС Windows на диски других компьютеров. В результате эти компьютеры сразу становятся
готовы к использованию, как если бы прошли такой же процесс установки, что и исходный компьютер.
Хотя этот метод экономит многие часы работы и позволяет избежать трудностей, связанных с другими
подходами к развертыванию, он имеет существенный недостаток, который заключается в том, что все
клонированные системы имеют одинаковый идентификатор безопасности (SID). Это создает угрозу
безопасности в средах с использованием рабочих групп, а также может создавать угрозу безопасности
съемных носителей в сетях, где есть компьютеры с одинаковыми идентификаторами безопасности.
Информация о версиях:
В версии 4.0 добавлена поддержка ОС Windows XP и .NET Server, интерфейс в стиле мастера,
возможность указывать идентификатор безопасности, которой нужно применить, сжатие реестра, а
также возможность изменения имени компьютера (что приводит к изменению NetBIOS- и DNS-
имен).
В версии 3.02 исправлена ошибка, в результате которой программа NewSid неправильно копировала
значения по умолчанию с недопустимыми типами значений при изменении имени раздела со
В версии 3.01 добавлен обходной путь для проблемы с недоступным разделом реестра, создаваемым
сервером транзакций. Без этого обходного пути программа NewSID преждевременно завершалась
бы.
В версии 1.2 исправлена ошибка, которая появилась в версии 1.1 и приводила к тому, что некоторые
дескрипторы безопасности файловой системы не обновлялись.
К началу страницы
К началу страницы
Для понимания проблем, которые может вызвать клонирование, сначала необходимо разобраться с тем,
как индивидуальным локальным учетным записям на компьютере назначаются SID. SID локальных
учетных записей состоят из SID компьютера и дополнительного идентификатора RID (Relative Identifier —
относительный идентификатор). Идентификатор RID начинается с фиксированного значения и
увеличивается на единицу при создании каждой учетной записи. Так, второй учетной записи на том же
компьютере будет присвоен такой же RID, как и второй учетной записи на клоне. В результате обе
учетные записи будут иметь одинаковый SID.
Дублирование SID не является проблемой в среде на основе доменов, так как учетные записи домена
получают SID, основанные на SID домена. Но, согласно статье базы знаний корпорации Майкрософт
Q162001 “Не создавайте копии установок Windows на различных дисках”, в среде с использованием
рабочих групп безопасность основана на SID локальных учетных записей. Таким образом, если два
компьютера будут иметь пользователей с одинаковыми SID, рабочая группа не сможет различить этих
пользователей. Все ресурсы, включая файлы и разделы реестра, к которым имеет доступ один
пользователь, будут доступны и другому.
Еще одним примером, когда дублирование идентификаторов SID может вызвать проблемы, — наличие
съемного носителя, отформатированного в файловой системе NTFS, к файлам и каталогам которого
применяются атрибуты безопасности локальной учетной записи. Если такой носитель переносится на
другой компьютер, обладающий таким же SID, то локальные учетные записи, которые иначе не получили
бы доступа к файлам, могут получить его, если идентификаторы этих учетных записей совпадут с
идентификатором в атрибутах безопасности. Такое невозможно, если компьютеры имеют разные SID.
К началу страницы
Программа NewSID
NewSID — программа, разработанная нами для изменения SID компьютера. Сначала генерируется
случайный SID для компьютера, а затем выполняется обновление экземпляров существующего SID
компьютера, которые находятся в реестре и дескрипторах безопасности файлов — старый SID
заменяется на новый. Для работы программы NewSID необходимы права администратора. Она обладает
двумя функциями: изменение SID и изменение имени компьютера.
newsid /a [новое_имя]
При этом программа NewSID будет выполняться без выдачи запросов, изменит имя компьютера на
новое_имя и перегрузит компьютер, если процесс пройдет без ошибок.
Примечание. Если в системе, в которой требуется запустить программу NewSID, работает служба
IISAdmin, необходимо остановить ее до запуска программы. Для выключения службы IISAdmin
воспользуйтесь следующей командой: net stop iisadmin /y
Функция синхронизации SID программы NewSID позволяет указать, что новый SID должен не
генерироваться случайным образом, а быть получен у другого компьютера. Эта функция позволяет
перемещать резервный контроллер домена в новый домен, так как отношение контроллера к домену
определяется одинаковым SID этого контроллера и других контроллеров домена. Просто нажмите на
кнопку “Synchronize SID” (синхронизировать SID) и введите имя целевого компьютера. Необходимо
иметь разрешения на изменение параметров безопасности разделов реестра целевого компьютера.
Обычно это означает, что для пользования этой функцией требуется выполнить вход в качестве
администратора домена.
Обратите внимание, что при работе программы NewSID размер реестра будет расти, поэтому следует
установить максимальный размер реестра с учетом этого роста. Нами было установлено, что указанный
рост не оказывает заметного влияния на производительность системы. Причиной увеличения размера
реестра является его фрагментация в процессе применения программой NewSID временных параметров
безопасности. После удаления этих параметров реестр не сжимается.
Важно! Следует помнить, что, несмотря на тщательное тестирование программы NewSID, вы берете все
риски на себя, используя ее. Как при использовании любого программного обеспечения, вносящего
изменения в настройки файлов и реестра, настоятельно рекомендуется выполнить полное резервное
копирование имеющейся на компьютере информации до запуска программы NewSID.
К началу страницы
Ниже приведены шаги, которые необходимо выполнить для переноса резервного контроллера домена
из одного домена в другой:
Принцип работы
Программа NewSID начинает работу со считывания существующего SID компьютера. SID компьютера
хранится в кусте реестра SECURITY в разделе SECURITY\SAM\Domains\Account. Этот раздел содержит
значения F и V. Значение V является двоичным, и в конце его находится SID компьютера. Программа
NewSID проверяет соответствие SID стандартному формату (три 32-разрядных поля защитного кода , за
которыми идут три 32-разрядных поля подчиненного защитного кода).
Далее программа генерирует для компьютера новый случайный SID. Производится тщательное
генерирование по-настоящему случайного 96-разрядного значения для замены 96 разрядов 3 полей
подчиненного защитного кода, составляющих SID компьютера.
Далее следуют три этапа замены SID компьютера. На первом этапе разделы и значения кустов реестра
SECURITY и SAM сканируются на предмет старого SID. При нахождении старого SID в значении оно
заменяется новым SID, а при обнаружении в имени раздел и его подразделы копируются в новый
подраздел, получающий то же имя, но с новым SID.
Первая часть обновления дескрипторов безопасности выполняется для всех файлов системы NTFS
компьютера. Каждый дескриптор безопасности сканируется на наличие идентификатора SID
компьютера. Когда программа NewSID находит такой идентификатор, он заменяется на новый
идентификатор SID компьютера.
Вторая часть обновления дескрипторов безопасности выполняется для реестра. Во-первых, программа
NewSID должна просканировать все кусты, а не только загруженные. Каждой учетной записи
пользователя сопоставлен куст реестра, загружаемый в качестве HKEY_CURRENT_USER при входе
пользователя в систему, но который остается на диске в каталоге профиля пользователя, пока вход не
будет осуществлен. Программа NewSID определяет расположение кустов всех пользователей с помощью
перечисления раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\ProfileList, указывающего каталоги, в которых сохранены кусты. Затем выполняется
загрузка кустов в реестр с помощью функции RegLoadKey в HKEY_LOCAL_MACHINE и весь реестр
сканируется для проверки каждого дескриптора безопасности на наличие старого SID компьютера.
Обновление производится так же, как и для файлов, а по его завершении программа NewSID выгружает
кусты пользователей, которые были загружены. На последнем этапе программа сканирует раздел
HKEY_USERS, который содержит куст зарегистрированного в данный момент пользователя, и
куст .Default. Это необходимо, потому что куст невозможно загрузить дважды и, соответственно, куст
зарегистрированного пользователя не был загружен в раздел HKEY_LOCAL_MACHINE, когда программа
NewSID выполняла загрузку других кустов.
Наконец, программа NewSID должна обновить подразделы ProfileList, чтобы они имели ссылки на новые
SID учетных записей. Этот этап необходим для правильного сопоставления профилей ОС Windows NT с
учетными записями пользователей после изменения SID учетных записей в соответствии с SID
компьютера.
Программа NewSID обеспечивает себе доступ и возможность изменения каждого файла и раздела
реестра в системе путем активизации следующих привилегий: System (система), Backup (архивация),
Restore (восстановление) и Take Ownership (смена владельца).
К началу страницы
Полный исходный текст программы NewSID предоставляется для целей обучения. Использовать этот
исходный текст в коммерческих или бесплатных программах для изменения SID не допускается, но
можно использовать соответствующие методики в других программах для частного или коммерческого
использования.
5
TechNet Blogs > Mark Russinovich по-русски > Миф о дублировании SID
компьютера
6 Миф о дублировании SID компьютера
abeshkov
15 Nov 2009 10:35 AM
Comments0
3 ноября 2009 года Sysinternals закрыла проект NewSID - утилиты,
которая предназначалась для изменения идентификатора защиты компьютера
(machine SID). Я написал NewSID в 1997 году (первоначально она называлась
NTSID), поскольку в то время единственным доступным инструментом для
смены SID был Microsoft Sysprep, а он не поддерживал смену SID на
компьютерах с уже установленными приложениями. SID компьютера - это
уникальный идентификатор, генерируемый программой установки Windows
Setup, который операционная система использует в качестве основы для
идентификаторов SID, соответствующих локальным учетным записям и
группам, определяемых администратором. После того, как пользователь
осуществляет вход в систему, он представляется в системе своими
идентификаторами SID пользователя и группы в соответствии с авторизацией
объекта (проверки прав доступа). Если две машины имеют одинаковый SID,
то учетные записи или группы на этих машинах также могут иметь
одинаковые SID. Отсюда очевидно, что наличие нескольких компьютеров с
одинаковыми SID в пределах одной сети может привести к угрозе
безопасности, так? По крайней мере, это предположение не противоречит
здравому смыслу.
Причиной, заставившей меня начать рассматривать возможность отказа от
дальнейшей поддержки NewSID, стал тот факт, что, несмотря на в целом
положительные отчеты пользователей о работе утилиты на Windows Vista, я
не проводил полноценное тестирование ее работы лично, и, кроме того, мне
пр��шло несколько отчетов о том, что после использования NewSID
некоторые компоненты Windows завершали работу с ошибкой. Когда я
принялся за изучение этих отчетов, я решил начать с попытки понять, как
дублированные идентификаторы SID могут стать причиной появления
проблемы, так как я не мог принять возможность этого на веру, как все
остальные. Чем больше я думал об этом, тем больше убеждался в том, что
дублирование SID компьютера (т.е. наличие нескольких компьютеров с
одинаковыми идентификаторами SID) не влечет за собой каких-либо
проблем, связанных с безопасностью или чем-либо еще. Я обсудил свое
заключение с командами разработчиков Windows, занимающихся вопросами
безопасности и развертывания систем, и никто не смог придумать сценарий,
при котором две системы с одинаковыми SID, работающие в пределах
рабочей группы или же домена, могли бы стать причиной ошибки. В связи с
этим решение о закрытии проекта NewSID стало очевидным.
Дублирование SID
Поддерживаемый Microsoft способ создания установки Windows, пригодный
для развертывания системы для группы компьютеров, состоит в установке
Windows на базовый компьютер и подготовке системы к клонированию с
помощью утилиты Sysprep. Этот метод называется "обобщением образа",
поскольку когда вы загружаете образ, созданный описанным способом,
Sysprep запускает установку, генерируя новый SID компьютера, запуская
определение установленных аппаратных средств, сбрасывая счетчик времени
до активации продукта и устанавливая другие настройки системы, такие как
имя компьютера.