scardmor
Goto Top

doppelte Client SID doch kein Problem in Domäne?

Hallo zusammen,

Ich plane eine Inplace Migration von einer NT-Domain auf Active Directoy 2003 mit ca. 150 Clients. Die meisten dieser PC's wurden geclont mit Ghost und haben nun gleiche SID's. Die NT Domain mit den Clients läuft ohne Probleme.

Nun habe ich mich umgeschaut ob dies Probleme verursacht nach der Umstellung zu AD mit den SID. Die Meinungen sind ganz verschieden.

Meinung Microsoft:

Duplizierte SIDs stellen in einer domänenbasierten Umgebung kein Problem dar, da Domänenkonten SIDs haben, die auf der Domänen-SID basieren. Doch gemäß Microsoft Knowledge Base-Artikel Q162001 zur Vermeidung von Datenträgerduplikaten auf installierten Versionen von Windows NT basiert die Sicherheit in einer Arbeitsgruppenumgebung auf lokalen Konto-SIDs. Folglich kann eine Arbeitsgruppe nicht zwischen Benutzern unterscheiden, die auf zwei Computern mit der gleichen SID registriert sind. Auf alle Ressourcen, einschließlich Dateien und Registrierungsschlüssel, auf die der eine Benutzer Zugriff hat, hat auch der andere Zugriff.

Link: http://www.microsoft.com/germany/technet/sysinternals/utilities/NewSid. ...

Hier eine Aussauge vom Forum in dem es auch um doppelte SID's ging:
Hallo,
in einer Domäne gibts keine Problem, da auf dem Client, Domänen SID vergeben werden.

Anders siehst aus, wenn die Clients in einer "Workgroup" laufen.

Schau dir mal den Artikel bei Sysinternals an: newsid

Die doppelten SID kommen vom clonen.
Da man die doppelten SID trotzdem vermeiden sollte, ( ist halt sauberer )
sollte das clonen entsprechent geändert werden.
Stichworte sind in dem Zusammenhang sind sysdiff, sysprep (für xp )


Dann gibt es aber auch noch ganz andere Aussagen, das dies umbedingt notwendig ist.

Vielfach wird geschrieben das Probleme in Workgroups auftretten können oder bei Wechselmedien (Zugriff).

Wie gesagt die Clients sind zur Zeit in der NT Domain ohne Probleme.

Mir ist klar das es besser wäre wenn jeder Client eine eigene SID hat, aber meine Frage ist nun sollte in einer Domänen Umgebung eigentlich keine Probleme geben?

Danke und Gruss Reto

Content-ID: 62053

Url: https://administrator.de/forum/doppelte-client-sid-doch-kein-problem-in-domaene-62053.html

Ausgedruckt am: 24.12.2024 um 12:12 Uhr

Sylvio
Sylvio 22.06.2007 um 11:06:39 Uhr
Goto Top
Hi,

Duplicate SID gibt in deiner Domäne 100%ig probleme!
http://www.microsoft.com/technet/sysinternals/Security/NewSid.mspx
Einfach NewSID ausführen auf jedem Client und gut ist face-smile

Sylvio
scardmor
scardmor 22.06.2007 um 11:10:53 Uhr
Goto Top
Aber beim Eintritt in die Domäne wird ja eine Domain-SID generiert die dann verwendet wird. Die lokale SID wir ja nur verwendet für die Lokalen Benutzer sowie in Workgroups:

Duplizierte SIDs stellen in einer domänenbasierten Umgebung kein Problem dar, da Domänenkonten SIDs haben, die auf der Domänen-SID basieren.

oder aus deinem Link halt in Englisch:
Duplicate SIDs aren't an issue in a Domain-based environment since domain accounts have SID's based on the Domain SID.

Gruss Reto
Sylvio
Sylvio 22.06.2007 um 11:16:53 Uhr
Goto Top
LOL
Stimmt hab ich total vergessen...
Solltest dann halt nur keinen client clonen der schon nen domain account hat.

ABER diverse Software nutzt die lokalen SIDs (vierenscanner) und wenn du die von einem management server aus verwaltest könnte es probleme geben.

Wie scardmor schon sagte für die domain ist das kein problem, aber gennerell gilt
"jeder client sollte seine eigene SID haben"

Sylvio

PS: sorry für meine erste Falschaussage...
scardmor
scardmor 22.06.2007 um 11:22:46 Uhr
Goto Top
Hallo Sylvio,

Kein Problem, hab nun auch einige Zeit gegoogelt, ist ech verwirrend die ganze Sache.
Klar werde ich dann alle Clients mit NewSID mit neuen SID's ausrüsten, aber die Umstellung ist schon bald darum werde ich zuerst Migrieren und nach der Migration NewSID durchführen. Wichtig ist mir, das sich die User sicher nach der Migration anmelden können. Kleinere Probleme wie z.B. Virenscanner kann man nach der Migration anschauen.

Wollte mir nur noch einmal sicher sein, das dies mit der Domain SID wirklich so stimmt wie ich es verstanden haben.

Danke Gruss Reto