Azonos SID-ben Win2008 Server AD-ben
Asztalos László
koczek at tvn.hu
2013. Jún. 20., Cs, 12:54:40 CEST
------------------------------------------------------
HTTP://WWW.TVN.HU - Webhosting
Mini csomag: 100 MB-os tárterület, Korlátlan MySQL adatbázis méret,
PHP futtatás korlátok nélkül, .htaccess, stb.: CSAK 999 Ft + Áfa
------------------------------------------------------
Üdv Mindenkinek!
A SID-ről gyakorlati tapasztalatomat írom le. Nem biztonsági problémáról
van szó valóban.
A tantermi gépeken dualbootosan volt XP és Win7. Domainba léptetve egyik
OS-t, majd a másikat is véletlenszerűen jöttek elő bejelentkezési
problémák. Az egyik OS-t használó óra után a másik OS-t használók kb.
negyede tudott belépni a domainba a többiek nem. Ez "működött" bármelyik
irányból bármelyik irányba. Sysprepelve a probléma teljesen megszűnt!
A Win7-nél is van sysprep, csak azt már nem kell külön
letölteni-telepíteni mert benne van a Windows\System32\sysrep mappában,
és onnan is kell futtatni!
A klónozás előtt érdemes megcsinálni, és ezzel "lezárni" a gépet. A
klónozás után felismer néhány eszközt és utána használható a gép
(működik az automatikus domainba léptetés is)!
Viszont érdemes odafigyelni, hogy a sysprepelt gép újraindulásakor a
rendszergazda (hu) letiltásra kerül! Persze lehet engedélyezni, csak
parancs futtatás-újraindítás kell. Én ezért vettem fel egy plusz RGD
jogú júzert, hogy vissza tudjam állítani.
Aszti Laci
2013.06.20. 11:02 keltezéssel, Noé, Zoltán írta:
> Üdv.
>
> Ebben a kérdésben szerintem a legautentikusabb forrás maga Mark
> Russinovich, aki az egész SID mizériát elindította, még a 2000-es évek
> körül...:
>
> http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx
>
> A cikk lényege, hogy a duplikált SID-ek miért nem okoznak biztonsági
> problémát...
>
> M. R. is azt írja, hogy a legérdekesebb az egészben, hogy csak egy
> feltételezés volt, hogy a duplikált SID-ek biztonsági problémát
> jelentenek, mindenki azt hitte, hogy valaki tudja, hogy milyen
> veszélyt jelent, de soha senki nem állt elő ilyennel... mégis mai
> napig vita tárgya a dolog.
>
> Az M.R. általa készített newSID programot "nyugdíjazta' is, mondván,
> hogy nincs rá szükség. (újabb rendszereken, w7, w2k8 nem is működik
> jól), ki is vették már a Sysinternals Suite-ból.
>
> Fontos megjegyezni, hogy ezek biztonsági kérdésekre vonatkoznak. A
> Microsoft továbbra is azt ajánlja, hogy klónozás előtt sysprep-elni
> kell. De nem biztonsági okból, hanem azért mert előfordulhat, hogy
> bizonyos programoknál (pl. WSUS) gondot okozhat ha azonos a gépek SID-je.
>
> Én sysprep-elni sem szoktam, és sosem volt belőle problémám. (mondjuk
> csak tantermi gépeket szoktam klónozni)
> Domain-be léptetésnél sem lehet gond belőle, mert nem a gép machine
> SID-jét, hanem az AD-ben létrejövő computer account SID-jét használja
> a rendszer a gép azonosítására. (authentikációnál meg nincs
> jelentősége a SID-nek, ha belegondolunk vannak a well-known SID-ek,
> amik eleve azonosak minden gépen... illetve az összes DC SID-je is
> azonos...)
>
> Szóval döntse el mindenki maga, hogy kell-e...
>
>
>
> 2013/6/17 Zsolt Farkas <fazsolt at gmail.com <mailto:fazsolt at gmail.com>>
>
> Sziasztok!
>
> Van valakinek tapasztalata arról, hogy amennyiben sysprepelés
> (Windows 7) során nem generáltatok új SID-et (mert nem engedi),
> akkor utána tartományba léptetve hogyan reagál?
> Megoszlanak a tapasztalatok. Van ahol azt írják, hogy nem okoz
> gondot, valahol meg azt, hogy igen
>
> Zs
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20130620/785acc58/attachment.html>
További információk a(z) Techinfo levelezőlistáról