Skip to main content

NewSID 4.10

Von Mark Russinovich und Bryce Cogswell

Veröffentlicht: 01. Nov 2006

Hinweis: NewSID wird nicht mehr weiter entwickelt und steht auch nicht mehr zum Download bereit. Lesen Sie die Hintergründe in Mark Russinovichs Blogeintrag: NewSID Retirement and the Machine SID Duplication Myth

WICHTIG:

Was SIDs angeht, werden Abbilder, die unter Verwendung von NewSID erstellt werden, von Microsoft nicht unterstützt, sondern nur Abbilder, die mit SysPrep erstellt wurden. Microsoft hat NewSID noch nicht auf alle Bereitstellungsklonoptionen geprüft.

Weitere Informationen über die offiziellen Richtlinien von Microsoft finden Sie im folgenden Knowledge Base-Artikel:

Zum SeitenanfangZum Seitenanfang

Einführung

Viele Organisationen verwenden Klonprogramme für Datenträgerabbilder, um Windows breit gestreut zu veröffentlichen. Dieses Verfahren umfasst das Kopieren des Datenträgers von einem vollständig installierten und konfigurierten Windows-Computer auf die Laufwerke anderer Computer. Diese anderen Computer scheinen durch denselben Installationsvorgang gegangen zu sein und stehen sofort zur Verfügung.

Während diese Methode gegenüber anderen Veröffentlichungsmethoden viel Arbeit und Mühe spart, birgt sie insofern ein großes Problem, als jedes geklonte System eine identische Computer-SID hat. Diese Tatsache beeinträchtigt die Sicherheit in Arbeitsgruppenumgebungen. Zudem kann die Wechselmediensicherheit in Netzwerken mit mehreren identischen Computer-SIDs beeinträchtigt werden.

Die Nachfrage seitens der Windows-Community hat mehrere Unternehmen dazu veranlasst, Programme zu entwickeln, die die SID eines Computers ändern können, nachdem ein System geklont wurde. SID Changer und Ghost Walker von Symantec werden nur als Teil des Highendprodukts der jeweiligen Firmen verkauft. Darüber hinaus werden beide Programme von einer DOS-Eingabeaufforderung ausgeführt (das Änderungstool von Altiris ist so ähnlich wie NewSID).

NewSID ist ein Programm, das die Sicherheits-ID eines Computers ändert. Es ist kostenlos erhältlich und ein Win32-Programm, d. h. es kann leicht auf Systemen ausgeführt werden, die vorher geklont wurden. NewSID kann unter Windows NT 4.0, Windows 2000, Windows XP und Windows .NET Server eingesetzt werden.

Lesen Sie bitte den gesamten Artikel, bevor Sie dieses Programm verwenden.

Versionsinformationen:

  • Version 4.0 enthält jetzt Unterstützung für Windows XP und .NET Server, eine assistentenähnliche Benutzeroberfläche, die Ihnen ermöglicht, die gewünschte SID anzugeben, eine Registrierungsverdichtung durchzuführen und einen Computer umzubenennen (wodurch sowohl der NetBIOS- als auch der DNS-Name geändert werden).
  • Version 3.02 enthält eine Programmkorrektur, da ältere Versionen die Standardwerte mit ungültigen Werttypen kopierten, wenn ein Schlüssel mit einer alten SID in eine neue SID umbenannt wurde. Zu bestimmten Zeiten macht NT in SAM Gebrauch von solchen ungültigen Werten. Die Anzeichen für diesen Fehler waren Fehlermeldungen über einen verweigerten Zugriff, wenn Informationen von einem autorisierten Benutzer aktualisiert wurden.
  • Version 3.01 enthält Problemumgehung für einen unzugänglichen Registrierungsschlüssel, der von Microsoft Transaction Server erstellt wird. Ohne die Problemumgehung würde NewSID vorzeitig beendet.
  • Mit Version 3.0 wurde ein SID-Synchronisierungsfeature eingeführt, das NewSID anleitet, eine anzuwendende SID von einem anderen Computer abzurufen.
  • Version 2.0 hat eine Option für den automatisierten Modus und ermöglicht Ihnen das Ändern des Computernamens.
  • In Version 1.2 wurde ein Problem behoben, das in Version 1.1 auftrat, als einige Dateisystemsicherheitsbeschreibungen nicht aktualisiert wurden.
  • In Version 1.1 wurde ein verhältnismäßig kleiner Fehler korrigiert, der nur bestimmte Installationen betraf. Eine weitere Aktualisierung betrifft die Änderung von SIDs, die mit den Berechtigungseinstellungen von Datei- und Druckerfreigaben verknüpft sind.

Zum SeitenanfangZum Seitenanfang

Klonen und andere Veröffentlichungsmethoden

Eine der beliebtesten Möglichkeiten, eine in Firmenumgebungen breit gestreute Windows-Veröffentlichung durchzuführen (in der Regel auf Hunderten von Computern), basiert auf dem Verfahren des Datenträgerklonens. Ein Systemadministrator installiert das Basisbetriebssystem und die Zusatzsoftware, die im Unternehmen verwendet werden, auf einem Vorlagencomputer. Nach dem Konfigurieren des Computers für den Einsatz im Unternehmensnetzwerk werden automatisierte Datenträger- oder Systemvervielfältigungstools (wie z. B. Ghost von Symantec, Image Drive von PowerQuest und RapiDeploy von Altiris) verwendet, um die Computerlaufwerke des Vorlagencomputers auf die anderen Zielcomputer zu kopieren. Diese Klonversionen werden abschließend optimiert, z. B. durch die Zuweisung eindeutiger Namen, und dann von den Firmenmitarbeitern verwendet.

Eine andere gebräuchliche Methode des Veröffentlichens ist der Einsatz des Microsoft-Dienstprogramms sysdiff (Teil des Windows Resource Kit). Dieses Tool erfordert, dass der Systemadministrator auf jedem Computer eine vollständige Installation durchführt (in der Regel eine skriptbasierte unbeaufsichtigte Installation). Anschließend automatisiert sysdiff die Anwendung der Add-On-Software-Installationsabbilder.

Weil die Installation übersprungen wird und das Kopieren des Datenträgersektors effizienter ist als das Kopieren von Dateien, kann eine klonbasierte Veröffentlichung gegenüber einer vergleichbaren sysdiff-Installation jede Menge Zeit einsparen. Außerdem muss der Systemadministrator nicht lernen, wie der unbeaufsichtigte Installationsvorgang oder sysdiff zu verwenden sind oder wie Installationsskripts erstellt und auf Fehler überprüft werden. Dies allein verkürzt die Arbeit um Stunden.

Zum SeitenanfangZum Seitenanfang

Das SID-Vervielfältigungsproblem

Das Problem mit dem Klonen besteht darin, dass es von Microsoft nur sehr begrenzt unterstützt wird. Microsoft hat bekannt gegeben, dass das Klonen von Systemen nur dann unterstützt wird, wenn es abgeschlossen ist, bevor der GUI-Anteil des Windows-Setups erreicht wird. Wenn die Installation diesen Punkt erreicht, werden dem Computer ein Name und eine eindeutige Computer-SID zugewiesen. Wenn ein System nach diesem Schritt geklont wird, erhalten alle Computer identische Computer-SIDs. Beim Ändern eines Computernamens oder Hinzufügen eines Computers zu einer anderen Domäne wird die Computer-SID nicht geändert. Beim Ändern des Namens oder dem Wechseln der Domäne wird nur die Domänen-SID geändert, sofern der Computer zuvor mit einer Domäne verknüpft war.

Für ein Verständnis der Problematik des Klonens ist es zunächst notwendig, sich vor Augen zu führen, wie den einzelnen lokalen Konten auf einem Computer SIDs zugewiesen werden. Die SIDs lokaler Konten bestehen aus der SID des Computers und einer beigefügten RID (relative ID). Die RID startet bei einem festgelegten Wert und wird für jedes erstellte Konto um einen Wert erhöht. Das heißt, dass zum Beispiel dem zweiten Konto auf einem Computer die gleiche RID zugeteilt wird wie dem zweiten Konto auf einem Klon. Somit besitzen beide Konten die gleiche SID.

Duplizierte SIDs stellen in einer domänenbasierten Umgebung kein Problem dar, da Domänenkonten SIDs haben, die auf der Domänen-SID basieren. Doch gemäß Microsoft Knowledge Base-Artikel Q162001 zur Vermeidung von Datenträgerduplikaten auf installierten Versionen von Windows NT basiert die Sicherheit in einer Arbeitsgruppenumgebung auf lokalen Konto-SIDs. Folglich kann eine Arbeitsgruppe nicht zwischen Benutzern unterscheiden, die auf zwei Computern mit der gleichen SID registriert sind. Auf alle Ressourcen, einschließlich Dateien und Registrierungsschlüssel, auf die der eine Benutzer Zugriff hat, hat auch der andere Zugriff.

Eine andere Situation, bei der doppelte SIDs Probleme verursachen können, liegt dann vor, wenn Wechselmedien mit NTFS formatiert wurden, und wenn lokale Kontosicherheitsattribute auf Dateien und Verzeichnisse angewendet werden. Wenn ein Medium auf einen anderen Computer verschoben wird, der die gleiche SID hat, können lokale Benutzer, die normalerweise keinen Zugriff hätten, möglicherweise auf solche Medien zugreifen, wenn ihre Konto-IDs zufällig mit denjenigen in den Sicherheitsattributen übereinstimmen. Dies kann nicht passieren, wenn Computer verschiedene SIDs besitzen.

Ein Artikel, NT-Veröffentlichungsoptionen von Mark Russinovich wurde in der Juni-Ausgabe von Windows NT Magazin veröffentlicht. Darin wird das Problem der doppelten SIDs ausführlicher behandelt und die offizielle Haltung von Microsoft zum Klonen dargelegt. Verwenden Sie PsGetSid zur Anzeige der Computer-SIDs, um festzustellen, ob Ihr Netzwerk vom Problem doppelter SIDs betroffen ist.

Zum SeitenanfangZum Seitenanfang

NewSID

NewSID ist ein Programm, das entwickelt wurde, um die Sicherheits-ID eines Computers zu ändern. Es generiert zunächst eine zufällige SID für den Computer und aktualisiert dann entsprechend Einträge der vorhandenen Computer-SID in der Registrierung und in Dateisicherheitsbeschreibungen. NewSID erfordert für die Ausführung Administratorrechte. Es hat zwei Funktionen: Ändern der SID und Ändern des Computernamens.

Um die Option für die automatische Ausführung von NewSID zu verwenden, geben Sie in der Befehlszeile „/a“ an. Durch Angabe eines neuen Namens nach dem „/a“-Schalter können Sie dafür sorgen, dass der Name des Computers automatisch geändert wird. Beispiel:

newsid /a [neuerName]

Hiermit wird die Ausführung von NewSID ohne Aufforderung veranlasst, der Computername in „neuerName“ geändert und der Computer neu gestartet, wenn die Umbenennung ordnungsgemäß verlaufen ist.

Hinweis: Wenn das System, auf dem Sie NewSID ausführen möchten, IISAdmin ausführt, müssen Sie den IISAdmin-Dienst vor dem Ausführen von NewSID beenden. Verwenden Sie den folgenden Befehl, um den IISAdmin-Dienst zu beenden: net stop iisadmin /y

Das Feature von NewSID zur SID-Synchronisierung ermöglicht den Abruf der neuen SID von einem anderen Computer anstelle der zufälligen Generierung. Diese Funktionalität ermöglicht, das Verschieben des Reservedomänencontrollers (Backup Domain Controller, BDC) in eine neue Domäne, da sich die Beziehung eines BDC zu einer Domäne dadurch kennzeichnet, dass er die gleiche Computer-SID hat wie die anderen Domänencontroller. Klicken Sie einfach auf die Schaltfläche „Synchronize SID“, und geben Sie den Namen des Zielcomputers ein. Sie müssen dazu berechtigt sein, die Sicherheitseinstellungen der Registrierungsschlüssel des Zielcomputers zu ändern, was in der Regel bedeutet, dass Sie als Domänenadministrator angemeldet sein müssen, um dieses Feature zu verwenden.

Wenn Sie NewSID ausführen, nimmt die Größe der Registrierung zu. Stellen Sie also sicher, dass die maximale Registrierungsgröße eine Erweiterung zulässt. Dieses Wachstum hat erfahrungsgemäß keine wahrnehmbare Auswirkung auf die Systemleistung. Der Grund dafür, dass die Registrierung wächst, ist eine Fragmentierung bei Anwendung von vorläufigen Sicherheitseinstellungen von NewSID. Wenn die Einstellungen entfernt werden, schrumpft die Registrierung nicht.

Wichtig: Beachten Sie Folgendes: NewSID wurde zwar gründlich getestet, die Anwendung des Programms erfolgt jedoch auf eigenes Risiko. Wie bei jeder Software, die Datei- und Registrierungseinstellungen ändert, wird eine vollständige Sicherung des Computers vor Ausführung von NewSID dringend empfohlen.

Zum SeitenanfangZum Seitenanfang

Verschieben eines BDCs

Im Folgenden werden die Schritte zur Verschiebung eines BDCs von einer Domäne in eine andere aufgelistet:

  1. Starten Sie den BDC, den Sie verschieben wollen, und melden Sie sich an. Verwenden Sie NewSID, um die SID des BDCs mit dem primären Domänencontroller (PDC) der Domäne zu synchronisieren, in die Sie den BDC verschieben möchten.
  2. Starten Sie den BDC, dessen SID Sie geändert haben, neu. Da die Domäne, der der BDC jetzt zugeordnet ist, bereits einen aktiven PDC hat, wird er in der neuen Domäne als BDC starten.
  3. Der BDC wird im Server-Manager als Arbeitsstation angezeigt. Verwenden Sie deshalb die Schaltfläche „Add to Domain“, um den BDC in die neue Domäne einzufügen. Vergewissern Sie sich, dass Sie beim Hinzufügen das Optionsfeld „BDC“ angeben.

Zum SeitenanfangZum Seitenanfang

Funktionsweise

NewSID liest zunächst die vorhandene Computer-SID. Die SID eines Computers ist in der Registrierungsstruktur SECURITY unter SECURITY\SAM\Domains\Account gespeichert. Dieser Schlüssel enthält einen Wert F und einen Wert V. Der V-Wert ist ein binärer Wert, an dessen Ende die Computer-SID eingebettet ist. NewSID gewährleistet, dass diese SID ein Standardformat hat (drei 32-Bit-Teilautoritäten, denen drei 32-Bit-Autoritätsfelder vorangestellt sind).

Als Nächstes generiert NewSID eine neue zufällige SID für den Computer. NewSID erstellt einen wirklich zufälligen 96-Bit-Wert, der die 96 Bit der drei Teilautoritäten durch Werte ersetzt, die eine Computer-SID ausmachen.

Der Computer-SID-Ersetzung folgen drei Phasen. In der ersten Phase werden die Registrierungsstrukturen SECURITY und SAM und die Namen der Schlüssel auf Vorkommnisse der alten Computer-SID in den Schlüsselwerten durchsucht. Wenn die SID in einem Wert gefunden wird, wird sie durch die neue Computer-SID ersetzt. Wird die SID in einem Namen gefunden, werden der Schlüssel und seine Unterschlüssel in einen neuen Unterschlüssel kopiert, der den gleichen Namen hat, mit dem Unterschied, dass nun die neue SID die alte ersetzt.

Die letzten beiden Phasen umfassen das Aktualisieren der Sicherheitsbeschreibungen. Den Registrierungsschlüsseln und NTFS-Dateien wird Sicherheit zugeordnet. Sicherheitsbeschreibungen bestehen aus einem Eintrag, der angibt, welches Konto Besitzer der Ressource ist und welche Gruppe primärer Gruppenbesitzer ist, einer optionalen Liste der Einträge, die die Aktionen bestimmen, die durch Benutzer oder Gruppen zulässig sind (bekannt als freigegebene Zugriffssteuerungsliste, Discretionary Access Control List, DACL) und einer optionalen Liste der Einträge, die angibt, welche Aktionen, die von bestimmten Benutzern oder Gruppen durchgeführt werden, Einträge im Systemereignisprotokoll generieren (Systemzugriff-Steuerungsliste, System Access Control List, SACL). Benutzer und Gruppen sind in diesen Sicherheitsbeschreibungen mit ihren SIDs angegeben. Wie bereits erläutert, haben lokale Benutzerkonten (anders als die Standardkonten, wie z. B. Administrator, Gast und so weiter) SIDs, die aus der Computer-SID und einer RID bestehen.

Der erste Teil der Aktualisierung der Sicherheitsbeschreibungen findet auf allen NTFS-Dateisystemdateien auf dem Computer statt. Jede Sicherheitsbeschreibung wird auf Vorkommnisse der Computer-SID geprüft. Wenn NewSID eine Computer-SID findet, ersetzt es sie durch die neue Computer-SID.

Der zweite Teil der Aktualisierung erfolgt an der Registrierung. Zunächst muss NewSID sicherstellen, dass alle Strukturen, nicht nur jene, die geladen sind, geprüft werden. Jedes Benutzerkonto hat eine Registrierungsstruktur, die bei der Anmeldung eines Benutzers als HKEY_CURRENT_USER geladen wird, die jedoch im Profilverzeichnis des Benutzers auf der Festplatte verbleibt, wenn die Benutzer nicht angemeldet sind. NewSID identifiziert alle Benutzerstrukturorte durch Enumeration des Schlüssels HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList, der auf die Verzeichnisse verweist, in denen diese gespeichert sind. Es lädt sie dann in die Registrierung unter Verwendung von RegLoadKey unter HKEY_LOCAL_MACHINE und prüft die gesamte Registrierung, wobei jede Sicherheitsbeschreibung auf die alte Computer-SID hin untersucht wird. Aktualisierungen werden genauso wie bei Dateien durchgeführt. Wenn sie abgeschlossen sind, entfernt NewSID die Benutzerstrukturen, die es geladen hat. Abschließend prüft NewSID den Schlüssel HKEY_USERS, der die Struktur der derzeit angemeldeten Benutzer enthält, und die Standardstruktur. Dies ist notwendig, weil eine Struktur nicht zweimal geladen werden kann, d. h. die Struktur des angemeldeten Benutzers wird nicht in HKEY_LOCAL_MACHINE geladen, wenn NewSID gerade andere Benutzerstrukturen lädt.

Schließlich muss NewSID die Unterschlüssel ProfileList aktualisieren, sodass auf die neuen SIDs verwiesen wird. Dieser Schritt ist notwendig, damit Windows NT die Profile korrekt mit den Benutzerkonten verknüpft, nachdem die Konto-SIDs auf der Basis der neuen Computer-SID geändert wurden.

NewSID stellt sicher, dass es auf jede Datei und jeden Registrierungsschlüssel im System zugreifen und diese ändern kann, indem es sich die folgenden Berechtigungen erteilt: System, Sicherung, Wiederherstellen und Besitz übernehmen.

Zum SeitenanfangZum Seitenanfang

Quellcodeverwendung

Der vollständige Quellcode für NewSID wurde für Schulungszwecke bereitgestellt. Sie dürfen diesen Code nicht in einem Werbe- oder Freewareprodukt zur SID-Änderung verwenden, doch Sie können seine Methoden in anderen Programmen für private oder gewerbliche Zwecke nutzen.

Zum SeitenanfangZum Seitenanfang

Download

NewSID herunterladenNewSID herunterladen
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur -Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die -Website verlassen.

Möchten Sie teilnehmen?