web-dev-qa-db-ja.com

Windowsイメージをsysprep-pingするとき、または展開するときに、新しいSIDが適用されますか?

私の組織には現在、Windows XP(はい、正式なサポートが24時間以内に終了することを知っています)と、日常的にマシンに展開するSymantec Ghost 11で作成されたWindows 7システムイメージがあります。必須展開後の手順は、NewSIDを実行して、システムに新しいSIDを適用することです。明らかに、sysprepを使用して最初にイメージを作成する方が、より良い方法となる可能性があります。

私は両方のWindowsのsysprepについて読んでいますXPおよび7、そして "/ generalize"コマンドラインオプションを使用すると、ある時点で新しいSIDが作成されることがわかります。 d確認したいのは:新しいSIDがシステムに適用されているか展開、つまり、イメージを10台のマシンに展開して開始すると、10個の異なるSIDが取得されますか?また、これは両方のWindowsに当てはまりますか? XPおよびWindows 7?

最後に、「異なる」種類のSIDがあることも読みました(しかし完全には理解できません)。では、NewSIDを介して適用される新しいSIDは、sysprepによるものと同じですか?

よろしくお願いします。

4
hpy

From: Sysprepコマンドライン構文

/ generalizeイメージ化するWindowsインストールを準備します。このオプションを指定すると、すべての一意のシステム情報がWindowsインストールから削除されます。セキュリティID(SID)がリセットされ、システムの復元ポイントがすべてクリアされ、イベントログが削除されます。

次回コンピューターを起動すると、特殊構成パスが実行されます。クロックがまだ3回リセットされていない場合は、新しいセキュリティID(SID)が作成され、Windowsアクティベーションのクロックがリセットされます。

これは、次回の再起動時(展開後!)にSIDがリセットされることを意味します。はい、あなたのマシンは10の異なるSIDを取得します。

SIDには複数の種類があります。ユーザーにはSIDがあり、マシンにはSIDがあり、ローカルSID、ドメインSIDがあり、「特別な」SIDがありますが、話しているSID(MachineSID)はsysprepとNewSID(Machine SID)で同じです。

12
MichelZ

マシンSID、サービスSID、ドメインSID、およびユーザーSIDがあります。 NewSIDとsysprep/generalizeは、マシンSIDのみをリセットします。はい、それらは同じマシンSIDです。はい、sysprepは展開後にマシンSIDを変更します。

ただし、マシンSIDを変更する必要はありません。 Mark RussinovichによるTechNetの このブログエントリ によれば、

では、同じマシンSIDを持つ複数のコンピューターが問題になるのでしょうか。唯一の方法は、Windowsが他のコンピューターのマシンSIDを参照する場合です。たとえば、リモートシステムに接続したときに、ローカルマシンのSIDがリモートシステムに送信され、アクセス許可のチェックに使用された場合、リモートシステムがSIDを区別できないため、SIDが重複するとセキュリティ上の問題が発生します。同じSIDを持つローカルアカウントからのインバウンドリモートアカウント(両方のアカウントのSIDは、ベースと同じマシンSIDと同じRIDを持っています)。ただし、確認したように、Windowsでは、ローカルコンピュータだけが知っているアカウントを使用して別のコンピュータを認証することはできません。代わりに、リモートシステムのローカルアカウント、またはリモートコンピューターが信頼するドメインのドメインアカウントのいずれかの資格情報を指定する必要があります。リモートコンピューターは、ローカルアカウントのSIDを自身のセキュリティアカウントデータベース(SAM)から取得し、ドメインアカウントのSIDをドメインコントローラー(DC)上のActive Directoryデータベースから取得します。リモートコンピューターは、接続しているコンピューターのマシンSIDを参照することはありません。

つまり、最終的にコンピュータへのアクセスをゲートするのはSIDではなく、アカウントのユーザー名とパスワードです。リモートシステム上のアカウントのSIDを知っているだけでは、コンピュータやその上のリソースにアクセスすることはできません。 SIDが十分でないことのさらなる証拠として、ローカルシステムアカウントのような組み込みアカウントはすべてのコンピューターで同じSIDを持っていることを覚えておいてください。これは、もしそうなら、大きなセキュリティホールになるでしょう。

ここのサーバー障害に関するThatGraemeGuyは私と同意します。

真剣に、あなたはNewSIDを必要としません。 Microsoftは、必要のない理由でNewSIDを廃止しました。 NewSIDのダウンロードページには、「注:NewSIDは廃止され、ダウンロードできなくなりました。MarkRussinovichのブログ投稿:NewSID Retirement andマシンSID複製の神話。」

ただし、Sysprepは、WSUSに干渉する厄介なレジストリキーなどを削除します。 Microsoftは、sysprepなしのクローン作成をサポートしていません。

あなたの質問から、sysprep/generalizeが同じ機能を実行すると言って、そのNewSIDステップ(イェーイ!)を取り除くことを望んでいると思います。これは事実ですが、2009年以降NewSIDがサポートされていないことを指摘することで、ロールアウトプロセスの不要なステップを取り除くこともできます。

4

展開後。常識。一般化によって新しいSIDが生成される場合は、すべてのマシンでそれを繰り返す必要があります。これは、Wordの意味に完全に反することになります。

一般化した後、マシンは一般化され、次の起動時に再初期化されます。したがって、シャットダウンしてデプロイしてから、デプロイされたイメージが起動し、新しいSIDpeマシンが生成されます。

2
TomTom