1ПЕРВУЮ МАШИНКУ (ПО-ПРОСТОМУ, ЧЕРЕЗ

EASYINSTALL
Далее оно автоматом
Перезагрузка
Пойти с паролем
Отключить
2ВТОРУЮ МАШИНКУ (КАСТОМ)
3ВТОРУЮ – КЛОНИРОВАНИЕМ

В лабах можно попробовать первое

У С1:
У второй
 4NEWSID

4.1 Программа NewSID (версия 4.10)

Авторы: Марк Руссинович (Mark Russinovich) и Брайс Когсвелл (Bryce Cogswell)

Опубликовано 1 ноября 2006 г.

Важно!
В отношении идентификаторов SID корпорация Майкрософт не поддерживает образы, подготовленные с
использованием программы NewSID. Поддерживаются только образы, подготовленные с помощью
программы SysPrep. Корпорация Майкрософт не проводила тестирование программы NewSID во всех
вариантах клонирования при развертывании.

Подробнее об официальной политике корпорации Майкрософт см. в статье базы знаний

Политика корпорации Майкрософт в отношении создания дубликатов диска установки

Windows XP
К началу страницы

Введение
Многие организации используют клонирование образов дисков для выполнения массовой установки ОС
Windows. Эта методика предполагает копирование диска компьютера с полностью установленной и
настроенной ОС Windows на диски других компьютеров. В результате эти компьютеры сразу становятся
готовы к использованию, как если бы прошли такой же процесс установки, что и исходный компьютер.

Хотя этот метод экономит многие часы работы и позволяет избежать трудностей, связанных с другими
подходами к развертыванию, он имеет существенный недостаток, который заключается в том, что все
клонированные системы имеют одинаковый идентификатор безопасности (SID). Это создает угрозу
безопасности в средах с использованием рабочих групп, а также может создавать угрозу безопасности
съемных носителей в сетях, где есть компьютеры с одинаковыми идентификаторами безопасности.

Потребности пользователей Windows заставили несколько компаний разработать программы, которые

могут изменять идентификатор SID после клонирования системы. Однако программы Ghost Walker
компании Symantec и SID Changer компании Altiris (впоследствии приобретенной Symantec) продаются
только в составе полных продуктов компании. Кроме того, обе программы работают из командной
строки DOS (программа от Altiris похожа на NewSID).

NewSID — это программа, которую мы разработали для изменения идентификатора безопасности

компьютера. Она бесплатна и предназначена для Win32, а это значит, что ее можно легко запускать на
системах, которые были клонированы. Программа работает с операционными системами Windows NT 4,
Windows 2000, Windows XP и Windows .NET Server.
Перед использованием программы прочтите эту статью целиком.

Информация о версиях:

 В версии 4.0 добавлена поддержка ОС Windows XP и .NET Server, интерфейс в стиле мастера,
возможность указывать идентификатор безопасности, которой нужно применить, сжатие реестра, а

также возможность изменения имени компьютера (что приводит к изменению NetBIOS- и DNS-
имен).

 В версии 3.02 исправлена ошибка, в результате которой программа NewSid неправильно копировала
значения по умолчанию с недопустимыми типами значений при изменении имени раздела со

старым идентификатором на новый. ОС NT использует такие недопустимые значения в

определенные моменты процесса управления лицензиями (SAM). Признаком этой ошибки были

сообщения об отказе в доступе при обновлении информации учетной записи авторизованным

пользователем.

 В версии 3.01 добавлен обходной путь для проблемы с недоступным разделом реестра, создаваемым
сервером транзакций. Без этого обходного пути программа NewSID преждевременно завершалась

бы.

 В версии 3.0 появилась функция синхронизации идентификаторов. Теперь возможно получить

подлежащего использованию идентификатор от другого компьютера.

 В версии 2.0 появился автоматический режим и возможность смены имени компьютера.

 В версии 1.2 исправлена ошибка, которая появилась в версии 1.1 и приводила к тому, что некоторые
дескрипторы безопасности файловой системы не обновлялись.

 В версии 1.1 исправлена относительно небольшая ошибка, которая отражалась только на

определенных установках. Эта версия также была дополнена функцией изменения идентификаторов

безопасности, связанных с настройками прав совместного доступа к файлам и принтерам.

К началу страницы

Клонирование и альтернативные методы развертывания

Один из наиболее популярных методов выполнения массового развертывания ОС Windows (обычно на

сотнях компьютеров) в корпоративных средах основан на технологии клонирования дисков. Системный
администратор устанавливает базовую операционную систему и дополнительное программное
обеспечение, используемое в компании, на эталонный компьютер. После настройки машины для работы
в корпоративной сети для копирования дисков эталонного компьютера на десятки или сотни других
компьютеров используются автоматизированные средства копирования диска или системы (например
программа Ghost компании Symantec, Image Drive компании PowerQuest или RapiDeploy компании Altiris).
На полученных клонах выполняются окончательные настройки, например назначение уникальных имен.
Затем готовые компьютеры поступают сотрудникам компании.
Еще одним популярным методом развертывания является использование служебной программы sysdiff
корпорации Майкрософт (входит в пакет Windows Resource Kit). Это средство требует, чтобы
администратор выполнил полную установку (обычно это автоматизированная установка с помощью
сценария) на каждом компьютере, а затем служебная программа sysdiff автоматизирует применение
образов установки дополнительного программного обеспечения.

Поскольку этап установки отсутствует, а посекторное копирование диска эффективнее пофайлового,

развертывание с помощью клонирования может сэкономить десятки часов по сравнению с установкой
при помощи служебной программы sysdiff. Кроме того, системному администратору не требуется
изучать использование установок без участия пользователя или служебной программы sysdiff, а также
создавать и отлаживать сценарии установки. Только это экономит многие часы работы.

К началу страницы

Проблема дублирования SID

Недостатком клонирования является то, что этот процесс поддерживается корпорацией Майкрософт в
очень ограниченной степени. Корпорация Майкрософт объявила, что клонирование систем
поддерживается только в том случае, если оно выполняется до начала этапа установки ОС Windows, на
котором используется графический интерфейс (GUI). Когда процесс установки достигает этого этапа,
компьютеру присваивается имя и уникальный SID компьютера. Если система клонируется после этого
этапа, клонированные машины будут иметь одинаковые SID компьютера. Следует заметить, что простое
изменение имени компьютера или включение компьютера в другой домен не изменяет SID компьютера.
Изменение имени или домена приводит лишь к изменению SID домена, и только в том случае, если
компьютер был ранее связан с доменом.

Для понимания проблем, которые может вызвать клонирование, сначала необходимо разобраться с тем,
как индивидуальным локальным учетным записям на компьютере назначаются SID. SID локальных
учетных записей состоят из SID компьютера и дополнительного идентификатора RID (Relative Identifier —
относительный идентификатор). Идентификатор RID начинается с фиксированного значения и
увеличивается на единицу при создании каждой учетной записи. Так, второй учетной записи на том же
компьютере будет присвоен такой же RID, как и второй учетной записи на клоне. В результате обе
учетные записи будут иметь одинаковый SID.

Дублирование SID не является проблемой в среде на основе доменов, так как учетные записи домена
получают SID, основанные на SID домена. Но, согласно статье базы знаний корпорации Майкрософт
Q162001 “Не создавайте копии установок Windows на различных дисках”, в среде с использованием
рабочих групп безопасность основана на SID локальных учетных записей. Таким образом, если два
компьютера будут иметь пользователей с одинаковыми SID, рабочая группа не сможет различить этих
пользователей. Все ресурсы, включая файлы и разделы реестра, к которым имеет доступ один
пользователь, будут доступны и другому.

Еще одним примером, когда дублирование идентификаторов SID может вызвать проблемы, — наличие
съемного носителя, отформатированного в файловой системе NTFS, к файлам и каталогам которого
применяются атрибуты безопасности локальной учетной записи. Если такой носитель переносится на
другой компьютер, обладающий таким же SID, то локальные учетные записи, которые иначе не получили
бы доступа к файлам, могут получить его, если идентификаторы этих учетных записей совпадут с
идентификатором в атрибутах безопасности. Такое невозможно, если компьютеры имеют разные SID.

В написанной Марком статье “Варианты развертывания систем NT”, опубликованной в июньском

выпуске журнала Windows NT Magazine, более подробно рассматривается вопрос дублирования SID, а
также излагается официальная позиция корпорации Майкрософт в отношении клонирования. Чтобы
узнать, есть ли в вашей сети проблема дублирования SID, воспользуйтесь программой PsGetSid, которая
отображает SID компьютеров.

К началу страницы

Программа NewSID
NewSID — программа, разработанная нами для изменения SID компьютера. Сначала генерируется
случайный SID для компьютера, а затем выполняется обновление экземпляров существующего SID
компьютера, которые находятся в реестре и дескрипторах безопасности файлов — старый SID
заменяется на новый. Для работы программы NewSID необходимы права администратора. Она обладает
двумя функциями: изменение SID и изменение имени компьютера.

Чтобы воспользоваться автоматическим режимом работы программы NewSID, укажите в командной

строке параметр “/a”. Также существует возможность включить автоматическую замену имени
компьютера, указав после этого параметра новое имя. Пример:

newsid /a [новое_имя]

При этом программа NewSID будет выполняться без выдачи запросов, изменит имя компьютера на
новое_имя и перегрузит компьютер, если процесс пройдет без ошибок.

Примечание. Если в системе, в которой требуется запустить программу NewSID, работает служба
IISAdmin, необходимо остановить ее до запуска программы. Для выключения службы IISAdmin
воспользуйтесь следующей командой: net stop iisadmin /y

Функция синхронизации SID программы NewSID позволяет указать, что новый SID должен не
генерироваться случайным образом, а быть получен у другого компьютера. Эта функция позволяет
перемещать резервный контроллер домена в новый домен, так как отношение контроллера к домену
определяется одинаковым SID этого контроллера и других контроллеров домена. Просто нажмите на
кнопку “Synchronize SID” (синхронизировать SID) и введите имя целевого компьютера. Необходимо
иметь разрешения на изменение параметров безопасности разделов реестра целевого компьютера.
Обычно это означает, что для пользования этой функцией требуется выполнить вход в качестве
администратора домена.

Обратите внимание, что при работе программы NewSID размер реестра будет расти, поэтому следует
установить максимальный размер реестра с учетом этого роста. Нами было установлено, что указанный
рост не оказывает заметного влияния на производительность системы. Причиной увеличения размера
реестра является его фрагментация в процессе применения программой NewSID временных параметров
безопасности. После удаления этих параметров реестр не сжимается.
Важно! Следует помнить, что, несмотря на тщательное тестирование программы NewSID, вы берете все
риски на себя, используя ее. Как при использовании любого программного обеспечения, вносящего
изменения в настройки файлов и реестра, настоятельно рекомендуется выполнить полное резервное
копирование имеющейся на компьютере информации до запуска программы NewSID.

К началу страницы

Перемещение резервного контроллера домена

Ниже приведены шаги, которые необходимо выполнить для переноса резервного контроллера домена
из одного домена в другой:

Включите доменный контроллер, который требуется переместить, и войдите в систему.

.Воспользуйтесь программой NewSID для синхронизации SID резервного контроллера домена с SID
основного контроллера того домена, в который нужно переместить резервный контроллер.
Выполните перезагрузку системы, в которой был изменен SID (т.е. резервного контроллера). Так
.как в домене, с которым теперь связан резервный контроллер, уже есть действующий основной
контроллер, резервный контроллер будет загружен в новом домене именно в качестве резервного.
Он будет показан в диспетчере серверов в качестве рабочей станции, поэтому воспользуйтесь
.кнопкой “Add to Domain” (добавить в домен), чтобы добавить резервный контроллер в новый домен.
При добавлении обязательно установите переключатель в состояние “BDC” (резервный контроллер).
К началу страницы

Принцип работы
Программа NewSID начинает работу со считывания существующего SID компьютера. SID компьютера
хранится в кусте реестра SECURITY в разделе SECURITY\SAM\Domains\Account. Этот раздел содержит
значения F и V. Значение V является двоичным, и в конце его находится SID компьютера. Программа
NewSID проверяет соответствие SID стандартному формату (три 32-разрядных поля защитного кода , за
которыми идут три 32-разрядных поля подчиненного защитного кода).

Далее программа генерирует для компьютера новый случайный SID. Производится тщательное
генерирование по-настоящему случайного 96-разрядного значения для замены 96 разрядов 3 полей
подчиненного защитного кода, составляющих SID компьютера.

Далее следуют три этапа замены SID компьютера. На первом этапе разделы и значения кустов реестра
SECURITY и SAM сканируются на предмет старого SID. При нахождении старого SID в значении оно
заменяется новым SID, а при обнаружении в имени раздел и его подразделы копируются в новый
подраздел, получающий то же имя, но с новым SID.

Последние два этапа — обновление дескрипторов безопасности. С разделами реестра и файлами

системы NTFS связаны параметры безопасности. Дескриптор безопасности состоит из элемента, который
определяет, какая учетная запись является владельцем ресурса; какая группа является основным
групповым владельцем; необязательного списка элементов, определяющих действия, которые
разрешены пользователям или группам — DACL (Discretionary Access Control List — список управления
доступом на уровне пользователей); а также необязательного списка элементов, определяющих, какие
действия определенных пользователей или групп должны генерировать записи в журнале событий
системы — SACL (System Access Control List — системный список управления доступом). Пользователь
или группа определяется в этих дескрипторах безопасности по SID. Как уже сказано выше, локальные
учетные записи пользователей (кроме встроенных учетных записей, например “Администратор”, “Гость”
и т.д.) имеют свои SID, состоящие из SID компьютера и идентификатора RID.

Первая часть обновления дескрипторов безопасности выполняется для всех файлов системы NTFS
компьютера. Каждый дескриптор безопасности сканируется на наличие идентификатора SID
компьютера. Когда программа NewSID находит такой идентификатор, он заменяется на новый
идентификатор SID компьютера.

Вторая часть обновления дескрипторов безопасности выполняется для реестра. Во-первых, программа
NewSID должна просканировать все кусты, а не только загруженные. Каждой учетной записи
пользователя сопоставлен куст реестра, загружаемый в качестве HKEY_CURRENT_USER при входе
пользователя в систему, но который остается на диске в каталоге профиля пользователя, пока вход не
будет осуществлен. Программа NewSID определяет расположение кустов всех пользователей с помощью
перечисления раздела реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\
CurrentVersion\ProfileList, указывающего каталоги, в которых сохранены кусты. Затем выполняется
загрузка кустов в реестр с помощью функции RegLoadKey в HKEY_LOCAL_MACHINE и весь реестр
сканируется для проверки каждого дескриптора безопасности на наличие старого SID компьютера.
Обновление производится так же, как и для файлов, а по его завершении программа NewSID выгружает
кусты пользователей, которые были загружены. На последнем этапе программа сканирует раздел
HKEY_USERS, который содержит куст зарегистрированного в данный момент пользователя, и
куст .Default. Это необходимо, потому что куст невозможно загрузить дважды и, соответственно, куст
зарегистрированного пользователя не был загружен в раздел HKEY_LOCAL_MACHINE, когда программа
NewSID выполняла загрузку других кустов.

Наконец, программа NewSID должна обновить подразделы ProfileList, чтобы они имели ссылки на новые
SID учетных записей. Этот этап необходим для правильного сопоставления профилей ОС Windows NT с
учетными записями пользователей после изменения SID учетных записей в соответствии с SID
компьютера.

Программа NewSID обеспечивает себе доступ и возможность изменения каждого файла и раздела
реестра в системе путем активизации следующих привилегий: System (система), Backup (архивация),
Restore (восстановление) и Take Ownership (смена владельца).

К началу страницы

Использование исходного текста программы

Полный исходный текст программы NewSID предоставляется для целей обучения. Использовать этот
исходный текст в коммерческих или бесплатных программах для изменения SID не допускается, но
можно использовать соответствующие методики в других программах для частного или коммерческого
использования.
 5

TechNet Blogs > Mark Russinovich по-русски > Миф о дублировании SID
компьютера
6 Миф о дублировании SID компьютера

abeshkov
15 Nov 2009 10:35 AM
 Comments0
3 ноября 2009 года Sysinternals закрыла проект NewSID - утилиты,
которая предназначалась для изменения идентификатора защиты компьютера
(machine SID). Я написал NewSID в 1997 году (первоначально она называлась
NTSID), поскольку в то время единственным доступным инструментом для
смены SID был Microsoft Sysprep, а он не поддерживал смену SID на
компьютерах с уже установленными приложениями. SID компьютера - это
уникальный идентификатор, генерируемый программой установки Windows
Setup, который операционная система использует в качестве основы для
идентификаторов SID, соответствующих локальным учетным записям и
группам, определяемых администратором. После того, как пользователь
осуществляет вход в систему, он представляется в системе своими
идентификаторами SID пользователя и группы в соответствии с авторизацией
объекта (проверки прав доступа). Если две машины имеют одинаковый SID,
то учетные записи или группы на этих машинах также могут иметь
одинаковые SID. Отсюда очевидно, что наличие нескольких компьютеров с
одинаковыми SID в пределах одной сети может привести к угрозе
безопасности, так? По крайней мере, это предположение не противоречит
здравому смыслу.
Причиной, заставившей меня начать рассматривать возможность отказа от
дальнейшей поддержки NewSID, стал тот факт, что, несмотря на в целом
положительные отчеты пользователей о работе утилиты на Windows Vista, я
не проводил полноценное тестирование ее работы лично, и, кроме того, мне
пр��шло несколько отчетов о том, что после использования NewSID
некоторые компоненты Windows завершали работу с ошибкой. Когда я
принялся за изучение этих отчетов, я решил начать с попытки понять, как
дублированные идентификаторы SID могут стать причиной появления
проблемы, так как я не мог принять возможность этого на веру, как все
остальные. Чем больше я думал об этом, тем больше убеждался в том, что
дублирование SID компьютера (т.е. наличие нескольких компьютеров с
одинаковыми идентификаторами SID) не влечет за собой каких-либо
проблем, связанных с безопасностью или чем-либо еще. Я обсудил свое
заключение с командами разработчиков Windows, занимающихся вопросами
безопасности и развертывания систем, и никто не смог придумать сценарий,
при котором две системы с одинаковыми SID, работающие в пределах
рабочей группы или же домена, могли бы стать причиной ошибки. В связи с
этим решение о закрытии проекта NewSID стало очевидным.

Я понимаю, что новость о том, что в дублировании SID компьютеров не

ничего плохо, станет для многих неожиданностью, особенно в связи с тем,
что практика с изменением SID является фундаментальным принципом в
развертывании систем из образов, начиная с первых версий Windows NT. Эта
статья призвана разоблачить данный миф, для чего, во-первых, приводится
объяснение понятия "SID компьютера", описывается то, как Windows
использует SID, после чего наглядно показывается, что Windows (за одним
исключением) никогда не предоставляет SID машины за пределами данного
компьютера, что доказывает возможность существования нескольких систем
с одинаковыми SID компьютера.

Идентификаторы защиты (абб. от security identifier, SID)

Windows использует идентификаторы SID для представления не только
машин, но и всех остальных объектов системы безопасности. Эти объекты
включают в себя машины, учетные записи домена, пользователей и групп
безопасности. Имена таких объектов представляют собой лишь более
понятные для пользователей формы представления SID, позволяющие вам,
например, переименовать вашу учетную запись без необходимости обновлять
списки управления доступом (ACL), которые ссылаются на данную учетную
запись, чтобы отобразить внесенные изменения. Идентификатор SID
представляет собой числовое значение переменной длины, формируемое из
номера версии структуры SID, 48-битного кода агента идентификатора и
переменного количества 32-битных кодов субагентов и/или относительных
идентификаторов (абб. от relative identifiers, RID). Код агента идентификатора
определяет агент, выдавший SID, и обычно таких агентом является локальная
операционная система или домен под управлением Windows. Коды
субагентов идентифицируют попечителей, уполномоченных агентом,
который выдал SID, а RID — не более, чем средство создания уникальных
SID на основе общего базового SID (от англ. common based SID).
Чтобы увидеть, что собой представляет SID машины, вы можете
воспользоваться инструментом Sysinternals PsGetSid, запустив его через
командную строку без параметров:

Здесь номер версии равен 1, код агента идентификатора - 5, а далее

следуют коды четырех субагентов. В Windows NT SID использовался для
идентификации компьютера в сети, вследствие чего для обеспечения
уникальности идентификатор SID, генерируемый программой установки
Windows Setup, содержит один фиксированный (21) и три генерируемых
случайным образом (числа после "S-1-5-21") кода субагентов.
Еще до того, как вы создадите первую учетную запись, Windows определяет
несколько встроенных пользователей и групп, включая учетные записи
Администратор и Гость. Вместо того, чтобы генерировать новые случайные
идентификаторы SID для этих учетных записей, Windows гарантирует их
уникальность, добавляя к SID компьютера уникальные для каждой учетной
записи числа, называемые относительными идентификаторами (Relative
Identifier, RID). Для упомянутых выше встроенных учетных записей RID
предопределены, так что, например, у пользователя Администратор RID
всегда равен 500:

После установки системы Windows назначает новым локальным

учетным записям пользователей и групп RID, начиная со значения 1000. Вы
можете воспользоваться PsGetSid для того, чтобы увидеть имя учетной
записи, которой принадлежит указанный SID; на скриншоте внизу вы можете
видеть, что локальный SID с RID равным 1000 принадлежит учетной записи
Abby - учетной записи администратора, имя которой Windows попросила
меня ввести во время установки:

Помимо этих динамически создаваемых SID, Windows определяет

несколько учетных записей, которые также имеют предопределенные SID.
Примером может служить группа Everyone, которая в любой системе
Windows имеет SID S-1-1-0:
 Другой пример - учетная запись Local System, под которой выполняются
некоторые системные процессы, такие как Session Manager (Smss.exe),
Service Control Manager (Services.exe) и Winlogon (Winlogon.exe):

Компьютеры, объединенные в домен, также имеют доменный SID

компьютера, основанный на SID домена. Вот скриншот PsGetSid,
отображающей SID для домена NTDEV:

Вы можете просмотреть SID домена для учетной записи компьютера,

указав имя компьютера вместе с символом "$":

Доменный идентификатор SID для моего компьютера представляет

собой SID домена плюс RID 3858199. Довольно проблематично назначить
двум компьютерам одинаковые доменные SID, тогда как смена только имени
компьютера не окажет никакого эффекта ни на доменный, ни на обычный
(локальный) SID компьютера. Если вы клонируете компьютер,
подключенный к домену, то единственный способ получения уникальной
доменной учетной записи - это исключение компьютера из состава домена,
изменение его имени и обратное включение его в домен.

Идентификаторы SID и списки управления доступом (от англ. Access

Control Lists, ACL)
После того, как пользователь вошел в систему Windows под своей учетной
записью, подсистема локальной авторизации (Local Security Authority
Subsystem, LSASS) создает входную сессию и маркер для нее. Маркер - это
структура данных, определяемая ядром Windows для представления в
системе учетной записи, содержащая в себе SID учетной записи, SID групп, к
которым принадлежит данная учетная запись на момент входа в систему, а
также привилегии безопасности, назначенные данной учетной записи и
группам. Когда последний маркер, ссылающийся на входную сессию, удален,
LSASS удаляет эту входную сессию, что означает, что пользователь вышел из
системы. Ниже вы можете увидеть информацию о моей интерактивной
входной сессии, отображаемой с помощью утилиты Sysinternals
LogonSessions:

А на этот скриншоте вы можете видеть информацию о маркере,

созданном Lsass для данной сессии, в окне Handle Process Explorer. Заметьте,
что число после имени учетной записи - 7fdee - соответствует
идентификатору входной сессии из LogonSessions:
  
По умолчанию процессы наследуют копию маркера их родительского
процесса. Например, каждый процесс, запущенный в моей интерактивной
сессии, имеет копию маркера, изначально унаследованного им от процесса
Userinit.exe, который первым создается Winlogon при каждом интерактивном
входе в систему. Вы можете посмотреть содержимое маркера процесса,
сделав двойной щелчок на строке процесса в Process Explorer и
переключившись на вкладку Security диалогового окна свойств процесса:

Когда один из моих процессов открывает объект операционной системы,

например, файл или ключ системного реестра, подсистема защиты выполняет
проверку прав доступа, которая просматривает записи списка управления
доступом (ACL) объекта, ссылающиеся на SID, находящийся в маркере
процесса.

Подобная проверка проходит и для сессии удаленного входа в систему,

создаваемой при использовании общих ресурсов с удаленных компьютеров.
Для успешного подключения к общему ресурсу вы должны пройти
аутентификацию на удаленной системе с помощью учетной записи,
известной этой системе. Если компьютер является частью Рабочей группы, то
вам нужно вводить входные данные для локальной учетной записи удаленной
системы; для системы, соединенной с доменом, входные параметры могу
быть как для локальной учетной записи удаленной системы, так и для
учетной записи домена. Когда вы обращаетесь к файлу на общем ресурсе,
драйвер файлового сервера этой системы использует маркер из входной
сессии для проверки прав доступа, усиливая тем самым механизм
олицетворения.

Дублирование SID
Поддерживаемый Microsoft способ создания установки Windows, пригодный
для развертывания системы для группы компьютеров, состоит в установке
Windows на базовый компьютер и подготовке системы к клонированию с
помощью утилиты Sysprep. Этот метод называется "обобщением образа",
поскольку когда вы загружаете образ, созданный описанным способом,
Sysprep запускает установку, генерируя новый SID компьютера, запуская
определение установленных аппаратных средств, сбрасывая счетчик времени
до активации продукта и устанавливая другие настройки системы, такие как
имя компьютера.

Однако, некоторые IT-администраторы сначала устанавливают Windows на

одну из своих систем, устанавливают и настраивают приложения, после чего
используют инструменты развертывания, которые не сбрасывают SID на
копиях установок Windows. До сих пор лучшим средством в таких случаях
было использование утилит для смены SID, таких как NewSID. Эти утилиты
генерируют новый SID компьютера, пытаются найти все возможные места в
системе, где упоминается SID компьютера, включая всю файловую систему и
ACL системного реестра, и обновляют его на новый SID. Причиной, по
которой Microsoft не поддерживает подобный способ модифицирования
системы, является то, что в отличие от Sysprep подобные утилиты
необязательно должны знать обо всех местах, где Windows упоминает SID
компьютера. Надежность и безопасность системы, использующей
одновременно старый и новый SID компьютера, не могут быть
гарантированы.

Так является ли проблемой наличие нескольких компьютеров с одинаковыми

SID? Это возможно только в том случае, если Windows когда-либо ссылается
на SID других компьютеров. Например, если во время подключения к
удаленной системе SID локального компьютера был передан на одну из
удаленных систем и использовался для проверки прав доступа,
дублированный идентификатор SID стал бы причиной проблемы
безопасности, поскольку удаленная система не смогла бы отличить SID
удаленной учетной записи от такого же SID локальной учетной записи (в
этом случае SID обеих учетных записей имеют одинаковые SID компьютера,
являющиеся их основой, и одинаковые RID). Однако, Windows не позволяет
вам проходить аутентификацию на другом компьютере, используя учетную
запись, известную только локальному компьютеру. Вместо этого, вы должны
использовать входные параметры или для учетной записи, локальной для
удаленной системы, или для учетной записи доверенного для удаленного
компьютера домена. Удаленный компьютер находит SID для локальной
учетной записи в его собственной базе данных учетных записей (от англ.
Security Accounts Database, SAM) и для учетной записи домена - в базе
данных Active Directory на контроллере домена. Удаленный компьютер
никогда не предоставляет SID компьютера подключенному компьютеру.

Некоторые статьи про дублирование SID, включая эту, предупреждают о том,

что наличие у нескольких компьютеров одинаковых SID приводит к тому, что
ресурсы на сменных носителях, таких как, например, отформатированный
под систему NTFS внешний жесткий диск, не могут быть защищены
средствами локальной учетной записи. Авторы таких статей не учитывают
тот факт, что права доступа к ресурсам на таких сменных носителях в любом
случае не могут быть защищены, поскольку пользователь может подключить
их к компьютерам, работающим под операционной системой, не
соблюдающей правил доступа файловой системы NTFS. Кроме того,
зачастую сменные носители используют заданные по умолчанию права
доступа, гарантирующие доступ известным идентификаторам SID, например,
SID группы Администраторов, которые одинаковы на всех системах. Это
фундаментальное правило физической защиты, и именно поэтому Windows 7
включает в себя функцию Bitlocker-to-Go, позволяющую вам зашифровывать
данные на сменных носителях.

Последним возможным вариантом, когда дублирование SID может послужить

причиной проблемы - это ситуация, когда распределенное приложение
использовало бы SID компьютеров для однозначной идентификации
компьютеров. Ни одно программное обеспечение Microsoft не работает таким
образом, тем более что использование SID компьютера для данной цели не
будет работать, поскольку все контроллеры домена имеют одинаковые SID.
Программное обеспечение, которое полагается на уникальную
идентификацию компьютеров, использует либо имена компьютеров, либо
доменные идентификаторы SID компьютера (SID учетных записей
компьютера в домене).
Наиболее подходящий вариант
Немного удивительно то, что проблема дублирования SID так долго не
подвергалась сомнению, каждый предполагал, что кто-то другой точно знает,
почему это является проблемой. К моему огорчению, на самом деле NewSID
никогда не выполнял какой-либо полезной функции, так что теперь, когда
поддержка этой утилиты закрыта, нет никаких причин тосковать по
ней. "Обратитевнимание, что Sysprep сбрасывает и другие идентификаторы
(настройки) компьютера,котрые в случае их дублирования могут привести к
проблемам в работенекоторых приложений, среди которых Windows Server
Update Services (WSUS).Поэтому официальная политика Microsoft все еще
требует, чтобы клонированныесистемы были сделаны уникальными с
помощью Sysprep."
7ПРОВЕРКА СВЯЗИ