虛擬機越來越多的應用於企業, IT管理人員常見的操作就是安裝一個模板操作,安裝好基本軟件,然後關閉虛機, 將VHD文件另存,當做模板使用;有類似的虛機服務器需求的時候,直接複製一份過來即可。我們通常也是這麼做的。
多次複製容易造成SID的重複,造成非常大的security漏洞, 所以我們必須在新生成的server上重新生成SID, 在windows2003 server, 我們常用NewID.exe自動生成SID並重啓即可,可以在Windows2008R2上使用NewID.exe 就造成系統無法正常啓動的問題.
解決方案如下:
在Windows2008R2中不在使用NEWSID,而是使用自帶的sysprep工具;
方法:
執行"sysprep"
C:\Windows\System32\Sysprep\Sysprep.exe
運行後有2個選項:
“Enter System Out-Of-Box Experience OOBE” 與 “Enter System Audit Mode”, 我們選擇第一個項 “OOBE”.
下一步選擇“Generalize”項, 知道完成,這樣SID就重新生成了。
SID簡介:
SID也就是安全標識符(Security Identifiers),是標識用戶、組和計算機帳戶的唯一的號碼。在第一次創建該帳戶時,將給網絡上的每一個帳戶發佈一個唯一的 SID。Windows 2000 中的內部進程將引用帳戶的 SID 而不是帳戶的用戶或組名。如果創建帳戶,再刪除帳戶,然後使用相同的用戶名創建另一個帳戶,則新帳戶將不具有授權給前一個帳戶的權力或權限,原因是該帳戶具有不同的 SID 號。安全標識符也被稱爲安全 ID 或 SID。
SID的作用
用戶通過驗證後,登陸進程會給用戶一個訪問令牌,該令牌相當於用戶訪問系統資源的票證,當用戶試圖訪問系統資源時,將訪問令牌提供給 Windows NT,然後 Windows NT 檢查用戶試圖訪問對象上的訪問控制列表。如果用戶被允許訪問該對象,Windows NT將會分配給用戶適當的訪問權限。
訪問令牌是用戶在通過驗證的時候有登陸進程所提供的,所以改變用戶的權限需要註銷後重新登陸,重新獲取訪問令牌。
SID重複問題的產生
安裝NT/2000、2003系統的時候,產生了一個唯一的SID,但是當你使用類似Ghost的軟件克隆機器的時候,就會產生不同的機器使用一個SID的問題。產生了很嚴重的安全問題。
同樣,如果是重複的SID對於對等網來說也會產生很多安全方面的問題。在對等網中帳號的基礎是SID加上一個相關的標識符(RID),如果所有的工作站都擁有一樣的SID,每個工作站上產生的第一個帳號都是一樣的,這樣就對用戶本身的文件夾和文件的安全產生了隱患。
這個時候某個人在自己的NTFS分區建立了共享,並且設置了自己可以訪問,但是實際上另外一臺機器的SID號碼和這個一樣的用戶此時也是可以訪問這個共享的。
本文出自 “Bill, Ma--IT Pro技術..” 博客,請務必保留此出處http://billma.blog.51cto.com/1183799/373366