Problematika SID klientů v Active Directory

Počítače v doméně nestačí jen přejmenovat

SID identifikátor je ve své podstatě náhodně generovaná sada znaků, které se používají k bezpečnému přihlašování uživatelů a skupin:

S-1-5-21-1482476501-926492609-839522115-1003 (toto je prostě nějaké SID)

Tato sada znaků je u klonovaných stanic stejná (i v případě, že je stanice jinak pojmenována). Je tedy nutné SID vždy po klonování změnit včetně NDIS jména pracovní stanice připojované do Active Directory nebo domény (Windows NT4). SID nemusíte měnit, pokud je stanice s serveru připojena pouze klasickým mapováním disků.

Jak vlastně SID funguje?

1. počítač má definované nějaké vygenerované SID. Například to, na kterém právě píšu je označeno jako: S-1-5-21-1482476501-926492609-839522115

2. Tento údaj je roztroušen v několika větvích registru Windows.

3. Pokud se přihlásíte jako lokální uživatel stanice (máte účet přímo na stanici) nic se neděje a vše bude funkční.

4. Pokud se ovšem přihlásíte pomocí cestovního profilu do Active Directory neboli domény půjde to pouze tehdy, pokud má každá stanice jiné SID, pokud ano, je považována za bezpečnou a systém Vám načte cestovní profil a přiřadí odpovídající SID stanice:

Tohle je moje SID: S-1-5-21-1482476501-926492609-839522115-1003

a tohle mojí drahé ženušky :O): S-1-5-21-1482476501-926492609-839522115-1004

5. No a to je teoreticky vše. Pokud chcete se chcete tedy na klonovaných stanicích korektně hlásit do Active Directory a využívat cestovní profily, musíte SID vždy změnit.

Čím měnit SID?
Prakticky existují dva postupy, jak SID udržet nebo změnit. Klasické zálohovací aplikace Norton Ghost nebo Drive Image Pro k tomu využívají externích aplikací. REPAIR 2000 udržuje informaci o SID v diferenční záloze. Obecně se jedná o změny parametrů v registru Windows (přibližně 82 řádků kódu ve větvích system, security, sam a software) a nějaké ty adresáře na disku.

Zdroj: www.repair2000.cz