doppelte Client SID doch kein Problem in Domäne?

[scardmor 10]

Hallo zusammen,

 

Ich plane eine Inplace Migration von einer NT-Domain auf Active Directoy 2003 mit ca. 150 Clients. Die meisten dieser PC's wurden geclont mit Ghost und haben nun gleiche SID's. Die NT Domain mit den Clients läuft ohne Probleme.

 

Nun habe ich mich umgeschaut ob dies Probleme verursacht nach der Umstellung zu AD mit den SID. Die Meinungen sind ganz verschieden.

 

**Meinung Microsoft:**

 

Duplizierte SIDs stellen in einer domänenbasierten Umgebung kein Problem dar, da Domänenkonten SIDs haben, die auf der Domänen-SID basieren. Doch gemäß Microsoft Knowledge Base-Artikel Q162001 zur Vermeidung von Datenträgerduplikaten auf installierten Versionen von Windows NT basiert die Sicherheit in einer Arbeitsgruppenumgebung auf lokalen Konto-SIDs. Folglich kann eine Arbeitsgruppe nicht zwischen Benutzern unterscheiden, die auf zwei Computern mit der gleichen SID registriert sind. Auf alle Ressourcen, einschließlich Dateien und Registrierungsschlüssel, auf die der eine Benutzer Zugriff hat, hat auch der andere Zugriff.

 

Link: NewSID 4.10

 

Hier eine Aussauge in dem es auch um doppelte SID's ging:

Hallo,

in einer Domäne gibts keine Problem, da auf dem Client, Domänen SID vergeben werden.

 

Anders siehst aus, wenn die Clients in einer "Workgroup" laufen.

 

Schau dir mal den Artikel bei Sysinternals an: newsid

 

Die doppelten SID kommen vom clonen.

Da man die doppelten SID trotzdem vermeiden sollte, ( ist halt sauberer )

sollte das clonen entsprechent geändert werden.

Stichworte sind in dem Zusammenhang sind sysdiff, sysprep (für xp )

 

Dann gibt es aber auch noch ganz andere Aussagen, das dies umbedingt notwendig ist.

 

Vielfach wird geschrieben das Probleme in Workgroups auftretten können oder bei Wechselmedien (Zugriff).

 

Wie gesagt die Clients sind zur Zeit in der NT Domain ohne Probleme.

 

Mir ist klar das es besser wäre wenn jeder Client eine eigene SID hat, aber meine Frage ist nun sollte in einer Domänen Umgebung eigentlich keine Probleme geben?

 

Danke und Gruss Reto

[Velius 10]

Hi und Willkommen

 

Hier gibt's ne Antwort zu: https://www.mcseboard.de/windows-forum-allgemein-28/zwei-gleiche-systeme-erstellen-60214.html#post353012

 

 

Gruss

Velius

[grizzly999 11]

Die meisten dieser PC's wurden geclont mit Ghost und haben nun gleiche SID's. Die NT Domain mit den Clients läuft ohne Probleme.

Hallo,

 

du bist ein Zauberer, ich habe das weder bei NT noch bei AD jemals hinbekommen, einen geklonten Domänenrechner erfolgreich in der Domäne zu betreiben.

Bei NT kommt immer gleich die Meldung, dass bereits ein Rechner mit gleicher SID vorhanden ist, bei AD schlägt die Benutzeranmeldung fehl

 

grizzly999

[Velius 10]

@grizzly

 

 

Kuck mal den Link an: Ich kann's nicht mehr 100% bestätigen aber eine NT 4.0 Domain nimmt das nicht so ernst wie ein AD.

[grizzly999 11]

ich habe den Link angeschaut und ich habe auch bei NT 4.0 Rollouts schon Rechner geklont gehabt. Meine Erfahrung war: Fehlermeldung

 

grizzly999

[!aN 10]

Hast du überprüft ob die SIDs gleich sind oder hat Ghost die vielleicht zurückgesetzt?

[Velius 10]

Hast du überprüft ob die SIDs gleich sind oder hat Ghost die vielleicht zurückgesetzt?

 

Ghost macht das nicht automatisch. Das dazu passende Tool von Symantec heisst Ghostwalker und muss man explizit ausführen lassen.

[Tobi72 10]

Hab schon schönes erlebt bei geclonten Rechnern ohne die SID zu ändern. Rein gingen die noch ohne Probleme. Dann wurde aber einer der Rechner aus der Domäne entfernt und dabei hat es dann dummerweise die anderen allesamt auch mit rausgehauen. Waren zum Glück nur 4 Rechner, aber die durften dann alle neu aufgesetzt werden, da gar kein Anmelden an der Domäne mehr möglich war. Dummerweise hatte mämlich mein damaliger Chef, der die Rechner aufgesetzt hatte, das lokale Adminkennwort vergessen...

 

Also ich bin da immer etwas vorsichtig...