• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

NewSID und der „Clone“ Mythos

Mai 27, 2014 (Letztes Update) | Posted by Peter Schäfer Administration, KnowHow |

 

NewSID  und der „Clone“ Mythos

Einen neuen Server als Kopie eines anderen anlegen spart Zeit.

Allerdings führt es zu einer doppelten Computer SID.

Dies kann man mit NewSID verhindern – muss man aber gar nicht.

 

…aus der Praxis

Neulich wollte ich eine Plattform für eine Test-Installation vorzubereiten. Ein Server war schnell installiert, den zweiten wollte ich aus dem ersten klonen, denn Zeit ist ja Geld. Als erfahrener Consultant im Microsoft Umfeld hatte ich im Hinterkopf, dass ein einfaches Kopieren einer installierten Maschine  Probleme verursachen kann.

Die gefürchteten Maschinen-SIDs sollen die Ursache sein, da sie in den Sicherheitseinträgen (Security Descriptor) sämtlicher schützbarer Objekte (Dateien, Ordner, Registry, Share usw… ) verewigt sind.
Mir seit langem das Tool NewSID von Sysinternals (jetzt Microsoft) bekannt. Es schlummerte seit ewig in einem Tools-Ordner auf meinem Notebook. Doch aus irgendeinem Grund war diesmal nicht mehr aufzufinden. Also mal eben ins Internet und eine frische Version herunterladen…

 

NewSID wird nicht mehr weiterentwickelt
– dennoch kein Problem
 

Erstaunt musste ich jedoch lesen, dass NewSID nicht mehr weiterentwickelt wird. Die Begründung las ich dann auch mit einiger Verwunderung in folgendem Beitrag von Mark Russinovich, dem Entwickler von NewSID:
https://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx
Wie er deutlich darlegt, ist es in den meisten Fällen schlicht unnötig, die Computer-SID auszutauschen. Doch wenn man genauer darüber nachdenkt, wird es plötzlich ganz logisch. Man muss sich eigentlich nur überlegen, wann die Computer-SID überhaupt zum Einsatz kommt.

 

Wann kommt die SID überhaupt zum Einsatz?
 

Und hier zeigt sich, dass die Computer-SID eigentlich nur auf dem Computer selbst eine Rolle spielt und auch nie den Rechner in Richtung Netzwerk verlässt.
Viele werden sich fragen ob das auch stimmt, wenn ein Computer Mitglied einer AD-Domäne ist und somit ein Computerobjekt existiert, dass ebenfalls Rechte auf andere Ressourcen haben kann. Hierzu muss man wissen dass jedes System, das Mitglied einer Domäne wird, eine eigene SID bekommt, die sich nur aus dem Domänenanteil und einer, in der Domäne eindeutigen ID ( RID ) zusammensetzt. Nur diese SID spielt bei der Berechtigungsvergabe eine Rolle. Sie ist im Computer-Objekt im AD hinterlegt und hat mit der Rechner-SID nichts zu tun.

Gruppenmitgliedschaften sind auch kein Problem, da rechnerlokale Gruppen und Benutzer niemals Mitglied eine Domänengruppe sein können.
Selbst in Workgroup Szenarien treten keine Probleme auf, da ein Zugriff auf einen anderen Computer nur über Benutzername/Kennwort erfolgt.

 

Welche Probleme gibt es mit doppelter Computer SID?

 
Auch wenn es in den meisten Fällen überhaupt keine Probleme mit geklonten Rechnern gibt, sollte man sich über folgende Einschränkungen bewusst sein:

  • Ein nicht mit „Sysprep“ behandeltes Rechnerabbild wird von Microsoft nicht unterstützt.
  • Programme, die den Rechner anhand der SID identifizieren haben verständlicherweise ein Problem.
  • Zugriff auf NTFS-formatierte Wechselmedien. Hier haben natürlich alle Standardgruppen von geklonten Rechnern Zugriff, möglicherweise auch individuelle Benutzer und Gruppen. Daher ist es in sicherheitskritischen Umgebungen ratsam, die Speichmedien besser zu verschlüsseln.
  • Domänenkontroller:
    Domänenkontroller sollten niemals kopiert werden, da die Rechner-SID des ersten DC die Basis für die Domänen-SID ist. Alle weiteren DCs übernehmen diesen SID Anteil. Hier kann man sich leicht vorstellen, was passiert, wenn die Domäne und deren Mitglieder gleichlautende SIDs haben.
Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 27.02.2012
Tags: CloneComputer SIDNewsIDSID Cloning Computer Security
5

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next