Logo faq-o-matic.net
Logo faq-o-matic.net

Eindeutige Computer-SIDs unwichtig?

von veröffentlicht am17. November 2009, 10:12 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Windows   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 18. November 2010

Eine Antwort auf Mark Russinovich – oder: Debunking the Myth Debunking

Wie schon so oft wirft Mark Russinovich Diskussionsstoff im Windows-Bereich auf. Mit der Aussage, die Einzigartigkeit der von Computer-SIDs sei in einer Domäne nicht von Bedeutung, hat er dieses wieder einmal geschafft. Allerdings ist es wichtig zu berücksichtigen, worauf sich seine Einordnung bezieht. Daher fasst dieser Artikel einige Aspekte zusammen.

Mark Russinovich hat sich in einem Blog-Artikel zu der Thematik geäußert, ob Computer-SIDs innerhalb oder außerhalb einer Windows-Domäne eindeutig sein müssen. Kurz gefasst, behauptet er, dass dies nicht der Fall sein müsse. Nachlesen sollte man das hier:

[Mark’s Blog : The Machine SID Duplication Myth]
http://blogs.technet.com/markrussinovich/archive/2009/11/03/3291024.aspx

Unmittelbar nach der Veröffentlichung brach ein Sturm der Entrüstung aus – gut ablesbar an den vielen Kommentaren zu dem Artikel. Die Erfahrung vieler Admins zeigt, dass es eben doch Abhängigkeiten zu einer eindeutigen Computer-SID gibt. In der Folge ruderte Mark daher ein Stück zurück (die Fassung des Artikels, die jetzt auf seinem Blog steht, unterscheidet sich an vielen Stellen vom ursprünglichen Text – vor allem der vorletzte Absatz beginnend mit “The final case …”).

Im Kern stellt Mark die Wichtigkeit der Domänen-SID der Maschine dar, welche unterschiedlich zu der lokalen Computer-SID ist. Beide SIDs haben auch nichts miteinander zu tun. Siehe ebenfalls folgenden Artikel darüber:

[Aaron Margosis‘ „Non-Admin“ and App-Compat WebLog : Machine SIDs and Domain SIDs]
http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx

Verschiedene Services und Applikationen sind aber wohl doch abhängig von der SID. Dieses wurde in Foren und Newsgroups schon mehrfach durch den Rat bewiesen, einfach bei geklonten Maschinen unter anderem die Computer-SID mit Sysprep, dem einzigen von Microsoft unterstützten Tool, zu ändern – wonach die bestehenden Probleme gelöst waren.

[The Microsoft policy for disk duplication of Windows installations]
http://support.microsoft.com/kb/314828/en-us

Folgende Microsoft-Produkte zeigen zumindest in bestimmten Situationen Abhängigkeiten von siner eindeutigen SID:

Drittanbieter-Tools sind ebenfalls betroffen, wenn man den Blog-Einträgen folgt:

  • Quest Migration Manager (www.quest.com)
  • Symantec AV (www.symantec.com)

WSUS habe ich nicht mitgelistet, da die SUSClientID der entscheidende Faktor ist und diese beim Benutzen von sysprep nicht gelöscht wird (http://support.microsoft.com/kb/903262).

Als klares Statement von Mark geht allerdings auch hervor, dass Computer-Klone die nicht mit sysprep bearbeitet werden, NICHT von Microsoft supported werden, womit meiner Meinung die wichtigste Aussage getätigt ist.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!