Jump to content

Security - IDs für Maschinen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo an alle MCSE!

 

Je genauer ich mir die Sache mit den SIDs überlege, desto sicher bin ich mir:

Ich habe keine Anhnung, wie das wirklich funktioniert.

 

ZB: Wer kann diese Fragen beantworten:

o.) Wenn ich einen Rechner zu Domäne hinzufüge, ändert sich dessen SID? Doch wohl nur der Teil, der die Domäne bestimmt?

o.) Wenn ich einen Rechner von der Domäne entferne und erneut hinzufüge, bleibt die SID die gleiche?

o.) Wenn ich einen Domaincontroller DEPROMOTE, bleibt dann seine SID gleich? Ist der dann noch immer Memberserver?

o.) Wo kann ich die SID des Rechners am Rechner und wo in der Domäne auslesen

o.) MS sagt, daß die SIDs eindeutig sind über Raum und Zeit. Der einzige Schutz dafür ist doch wohl nur die Länge der SID? Oder nicht?

o.) Was würde passiern, wenn ich zufällig bei der Installation eines PCs eine gleiche SID erhalten würde, wie enie beretis existierende Maschine. Ich meine im LAN, sonst ist das wohl egal. Dann würden wohl Dienste nicht anlaufen oder?

o.) Was würde mit Vertrauensstellungen von Domänen passieren, dei zufällig die gleiche SIDs verwenden?

 

???

Eigentlich sollte ich das genau so gut wissen wie MS, ich min MCSA und MCSE.

 

Gruß!

Herbert

Link zu diesem Kommentar

Die SID besteht grob gesagt aus drei Teilen, der Revision der SID, der lokalen SID und der RID in Domänen (es ist genau erklärt im MSDN SID Components )

 

Die Kombination von SID und RID machts, deswegen ist es (fast) unmöglich zweimal dieselbe Kombination zu haben bei Domänen.

 

Zu Deinen Fragen:

 

o.) Wenn ich einen Rechner zu Domäne hinzufüge, ändert sich dessen SID? Doch wohl nur der Teil, der die Domäne bestimmt?

 

Jein, der RID Master gibt der Maschine die Domänen-SID und eine RID zusätzlich zur lokalen SID mit (deswegen sind die SID's bei Domänen Usern in der Registry auch so lang --> HKEY_USERS die langen Nummern sind Domänenaccounts, die kurzen sind lokale Accounts).

 

o.) Wenn ich einen Rechner von der Domäne entferne und erneut hinzufüge, bleibt die SID die gleiche?

 

Seine lokale SID bleibt gleich, die Domänen-SID auch, die RID ist anders (wird vom RID Master fortlaufend nummeriert), insgesamt erhält er also eine neue, eindeutige SID.

 

o.) Wenn ich einen Domaincontroller DEPROMOTE, bleibt dann seine SID gleich? Ist der dann noch immer Memberserver?

 

Nein, ein DC hat nur die Domänen-SID, keine lokale SID mehr (sieht man daran, dass ein DC auch keine lokalen Gruppen/User mehr hat), er erhält seine alte lokale SID, da bin ich mir jedoch nicht zu 100% sicher.

 

o.) Wo kann ich die SID des Rechners am Rechner und wo in der Domäne auslesen

 

Kann man mit PsGetSID von Sysinterals auslesen.

 

o.) MS sagt, daß die SIDs eindeutig sind über Raum und Zeit. Der einzige Schutz dafür ist doch wohl nur die Länge der SID? Oder nicht?

 

Nein, die Kombination von lokaler SID, Domänen-SID (jeweils zufällig bei der Installation erzeugt) und der RID (aus dem RID Pool vom RID-Master fortlaufend erstellt) ergibt tatsächlich eine ziemlich eindeutige SID.

 

o.) Was würde passiern, wenn ich zufällig bei der Installation eines PCs eine gleiche SID erhalten würde, wie enie beretis existierende Maschine. Ich meine im LAN, sonst ist das wohl egal. Dann würden wohl Dienste nicht anlaufen oder?

 

Ist nur in Arbeitsgruppen bei der ausschliesslichen Verwendung von lokalen Gruppen relevant, bei gleicher Maschinen-SID sind auch alle Default-Gruppen tatsächlich SID-identisch. Bei Domänen wirkt die unterschiedliche Domänen-SID und RID dagegen.

 

o.) Was würde mit Vertrauensstellungen von Domänen passieren, dei zufällig die gleiche SIDs verwenden?

 

Nichts, da auch hier wieder die Kombination Domänen-SID und RID unterschiedlich sein wird.

 

Hoffe geholfen zu haben .....

 

Grüsse

 

Gulp

Link zu diesem Kommentar
  • 2 Jahre später...
Wo kann ich die SID des Rechners am Rechner und wo in der Domäne auslesen

 

Kann man mit PsGetSID von Sysinterals auslesen.

Ich schaffe das nie' date=' mir psgetsid die Domänen-SID eines Rechners auszulesen. Er zeigt mir immer nur die lokale SID an, die der Rechner ja auch noch nach dem Domänenbeitritt hat.

Mit ldp.exe lese [i']ich [/i]die Domänen-SID eines Rechners aus ;)

 

o.) MS sagt, daß die SIDs eindeutig sind über Raum und Zeit. Der einzige Schutz dafür ist doch wohl nur die Länge der SID? Oder nicht?

 

Nein, die Kombination von lokaler SID, Domänen-SID (jeweils zufällig bei der Installation erzeugt) und der RID (aus dem RID Pool vom RID-Master fortlaufend erstellt) ergibt tatsächlich eine ziemlich eindeutige SID.

Ja, aber im Prinzip hat Herbert recht. Wenn die SID ingesamt "zu kurz" wäre, könnte der Algorithmus wohl nicht alle Parameter zu einer eindeutigen ID zusammenfügen. Es gäbe eine Duplikatmöglichkeit von Domänen-SIDs.

 

 

o.) Was würde passiern, wenn ich zufällig bei der Installation eines PCs eine gleiche SID erhalten würde, wie enie beretis existierende Maschine. Ich meine im LAN, sonst ist das wohl egal. Dann würden wohl Dienste nicht anlaufen oder?

In einer AG würde nichts "negatives" passieren, da dort keine SIDs für Netzwerkzugriffe verwendet werden.

In einer Domäne würde der Rechner mit der Duplikat-SID, der als zweites sich am DC anmeldet, keine Authentifizierung erhalten, und würde damit nicht als Workstation in der Domäne herhalten können.

 

o.) Was würde mit Vertrauensstellungen von Domänen passieren, dei zufällig die gleiche SIDs verwenden?

Der Versuch den Trust zu establishen würde schon in die Hose gehen ;)

You Cannot Create a Trust Relationship and a STATUS_OBJECT_NAME_COLLISION Error Occurs

 

 

grizzly999

Nachtrag:

Also, jetzt kann ich auch mit psgetsid die Domänen-SID eines Computerkonto auslesen; Vielen Dank an olc, der das für mich in seinen grauen Zellen und Testumgebungen ausgegraben hat. :)

Der einfache Befehl psgetsid (mit oder ohne Computername) liefert nur die lokale SID.

 

Der richtige Befehl für die Domänen-SID lautet:

psgetsid DOMAIN\Rechnername$

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...