karlho
Goto Top

Geklonte Windows Systeme in MDM aufnehmen

Hallo,

ich hab' in der Vergangenheit diverse Windows-Systeme durch einfaches Klonen eines "Master-Systems" erzeugt und dann nur noch ein paar User-Spezifische Anpassungen gemacht. Die Systeme laufen problemlos in unserer Umgebung (kein AD, kein Entra, etc.)

Jetzt möchte ich diese Systeme in ein MDM-System aufnehmen, um die Verwaltung un das Management zu vereinfachen.
Dabei hab' ich folgendes Problem:

Alle geklonten Systeme melden sich anscheinend mit der selben System-Id bei meinem MDM
(ich vermute das ist der Registry Eintrag Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Provisioning\OMADM\MDMDeviceID\DeviceClientId)
und können deshalb von der MDM-Verwaltung nicht unterschieden werden.

Frage:
Gibt es einen Weg, diese Produktiv-Systeme zu individualisieren (neue DeviceClientId) ohne ansonsten an den Systemen irgend etwas zu ändern ?

Danke für hilfreiche Hinweise.
Grüße, Karl

Content-ID: 669384

Url: https://administrator.de/contentid/669384

Ausgedruckt am: 24.11.2024 um 02:11 Uhr

150940
150940 10.11.2024 aktualisiert um 12:35:22 Uhr
Goto Top
Vor dem Klonen von non AD joined clients generell %WINDIR%\system32\sysprep\sysprep.exe /generalize /shutdown
Generalisieren einer Windows-Installation (Systemvorbereitung)

Gruß catrell
MacLeod
MacLeod 10.11.2024 um 13:19:33 Uhr
Goto Top
Spirit-of-Eli
Spirit-of-Eli 10.11.2024 um 17:00:08 Uhr
Goto Top
Nein, ohne Änderungen hast du keine Chance. Deswegen eskalieren diese Fragen immer.

Wer sowas ohne Sysprep macht steht hier leider auf verlorenem Posten.
KarlHo
KarlHo 10.11.2024 aktualisiert um 18:08:16 Uhr
Goto Top
Hallo Catrell und Kollegen,

Danke für den Hinweis auf Sysprep.
Da die Systeme aber bereits ohne Sysprep ausgeliefert wurden, suche ich nach einer Alternativlösung.

Grüße,
Karl
Spirit-of-Eli
Spirit-of-Eli 10.11.2024 um 18:11:40 Uhr
Goto Top
Zitat von @KarlHo:

Hallo Catrell und Kollegen,

Danke für den Hinweis auf Sysprep.
Da die Systeme aber bereits ohne Sysprep ausgeliefert wurden, suche ich nach einer Alternativlösung.

Grüße,
Karl

Die Alternative ist sauber neuinstallieren.
Avoton
Avoton 10.11.2024 um 21:29:18 Uhr
Goto Top
suche ich nach einer Alternativlösung.

Die gibt es nicht, das Kind liegt im Brunnen wenn du das System so behalten willst.
MacLeod
MacLeod 11.11.2024 um 07:50:25 Uhr
Goto Top
Seltsam nur, daß ich mit dem SID Changer schon zig laufende Systeme aus dem Brunnen wieder rausgefischt habe. Laufen bis heute in unserem Desktop Central und auch am jeweiligen Wsus.
face-smile
KarlHo
KarlHo 11.11.2024 aktualisiert um 08:19:39 Uhr
Goto Top
Hallo MacLeod,

Danke für Deinen Hinweis auf den SIDCHG.

Hast du Erfahrung, welche (der vielen) Parameter man wie setzen muss, um die Systeme MDM-fähig /-unterscheidbar zu machen ?

Grüße, Karl
MacLeod
MacLeod 11.11.2024 um 08:54:00 Uhr
Goto Top
Hallo,
prinzipiell keinen. Steht alles in den 8 Zeilen des Overview. Wenn Du deinen Rechnernamen behalten willst setzt Du diesen eben manuell auf den bisherigen. Sonst wird alles durch Random Namen ersetzt. Einfacher geht es kaum.
BSP: SIDCHG64-3.0h.exe /COMPNAME:HOLLDRIO /F /R /WS:20
MfG,
Macleod
KarlHo
KarlHo 11.11.2024 um 09:17:17 Uhr
Goto Top
Hallo MacLeod,
Nochmal vielen Dank.
Ich werde das in den nächsten Tagen testen.
Grüße, Karl
Spirit-of-Eli
Spirit-of-Eli 11.11.2024 um 09:23:58 Uhr
Goto Top
Zitat von @MacLeod:

Hallo,
prinzipiell keinen. Steht alles in den 8 Zeilen des Overview. Wenn Du deinen Rechnernamen behalten willst setzt Du diesen eben manuell auf den bisherigen. Sonst wird alles durch Random Namen ersetzt. Einfacher geht es kaum.
BSP: SIDCHG64-3.0h.exe /COMPNAME:HOLLDRIO /F /R /WS:20
MfG,
Macleod

Und dann lassen die Geräte sich sauber in eine Domain aufnehmen?
150940
150940 11.11.2024 aktualisiert um 09:30:55 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Und dann lassen die Geräte sich sauber in eine Domain aufnehmen?
Bei einer Aufnahme des Clients in eine Domain ist es egal welche lokale SID der Rechner hat, beim Domain Join bekommt der Rechner sowieso eine neue eindeutige Computer-SID in der Domain zugewiesen.

Gruß catrell
Spirit-of-Eli
Spirit-of-Eli 11.11.2024 um 09:39:26 Uhr
Goto Top
Zitat von @150940:

Zitat von @Spirit-of-Eli:
Und dann lassen die Geräte sich sauber in eine Domain aufnehmen?
Bei einer Aufnahme des Clients in eine Domain ist es egal welche lokale SID der Rechner hat, beim Domain Join bekommt der Rechner sowieso eine neue eindeutige Computer-SID in der Domain zugewiesen.

Gruß catrell

Diese Aussage würde Sysprep ja ad absurdum führen.
Ich kann mir nicht vorstellen das dies stimmt!
150940
150940 11.11.2024 aktualisiert um 12:37:07 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Diese Aussage würde Sysprep ja ad absurdum führen.
Nein, bei Umgebungen ohne Domain und beim Klonen von DCs/WSUS macht Sysprep natürlich absolut Sinn und sollte mandatory sein.
Ich kann mir nicht vorstellen das dies stimmt!
Dann vergleiche mal die SID des Computers auf dem DC im AD, und des Clients vor und nach dem Join 😉, dann hast du es schwarz auf weiß wenn du es mir nicht glaubst.

Hier darfst du dazu auch gerne lesen
The Machine SID Duplication Myth (and Why Sysprep Matters) / MarkRussinovich
Spirit-of-Eli
Spirit-of-Eli 11.11.2024 um 12:19:12 Uhr
Goto Top
Zitat von @150940:

Hier darfst du dazu auch gerne lesen
The Machine SID Duplication Myth (and Why Sysprep Matters)

Was soll ich hier lesen? Das ist ne Frage ohne Antwort.

Mich würden mehr Antworten von anderen Forenteilnehmern zu dem Thema interessieren.
150940
150940 11.11.2024 aktualisiert um 12:39:33 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Was soll ich hier lesen? Das ist ne Frage ohne Antwort.
Der eigentliche Beitrag ist nur "eingeklappt", hier der ganze:
https://techcommunity.microsoft.com/blog/Windows-Blog-Archive/the-machin ...

...
So is having multiple computers with the same machine SID a problem? The only way it would be is if Windows ever references the machine SIDs of other computers. For example, if when you connected to a remote system, the local machine SID was transmitted to the remote one and used in permissions checks, duplicate SIDs would pose a security problem because the remote system wouldn’t be able to distinguish the SID of the inbound remote account from a local account with the same SID (where the SIDs of both accounts have the same machine SID as their base and the same RID). However as we reviewed, Windows doesn’t allow you to authenticate to another computer using an account known only to the local computer. Instead, you have to specify credentials for either an account local to the remote system or to a Domain account for a Domain the remote computer trusts. The remote computer retrieves the SIDs for a local account from its own Security Accounts Database (SAM) and for a Domain account from the Active Directory database on a Domain Controller (DC). The remote computer never references the machine SID of the connecting computer.
...

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/u ...

The system generates the SID that identifies a particular account or group at the time the account or group is created. When a SID has been used as the unique identifier for a user or group, it can never be used again to identify another user or group.
Spirit-of-Eli
Spirit-of-Eli 11.11.2024 um 14:31:58 Uhr
Goto Top
Und Lizenzierung ist dann egal oder wie?
Das Problem fällt dem anderen Kollegen mit seinen geclonten VMs ja jetzt schon auf die Füße.