Jump to content

zwei gleiche Systeme erstellen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

Ich habe zwei Hardwarebaugleiche PC`s, einer davon ist bereits mit der gesamten Software die ich benötige installiert (sehr aufwendige konfiguration). Der zweite Pc sollte genausso ausgestattet werden.

Der schnellste Weg wäre natürlich wenn ich die Festplatte clonen würde sie wieder in den zweiten Pc einbaue Computername und Useranmeldung ändere und in dann ins Netz hänge, aber funktioniert das auch, gibt es da nicht Probelme mit einer ID, oder wie kann ich das noch lösen.

Link zu diesem Kommentar
.

Der schnellste Weg wäre natürlich wenn ich die Festplatte clonen würde sie wieder in den zweiten Pc einbaue Computername und Useranmeldung ändere und in dann ins Netz hänge, aber funktioniert das auch, gibt es da nicht Probelme mit einer ID, oder wie kann ich das noch lösen.

 

Sowieso ist keiner auf die eigentliche Frage eingegangen....

 

Du brauchst kein Tool, um einen geklonten Rechner in eine Domäne aufzunehmen, denn jeder Rechner erhält bei der Aufnahme in eine Domäne eine neue SID. Probleme gibt's nur, wenn du eine PC der bereits Mitglied einer Domäne ist duplizierst.

 

 

Gruss

Velius

Link zu diesem Kommentar

@Velius:

 

Ist leider nicht ganz richtig, denn die eigentlichen Rechner-SID (Local Workstation SID) wird nicht geändert, lediglich die User-SID wird für die Anmeldung und das relevante Security Token und die Trust Relationships verwendet.

 

Auszug aus http://www.microsoft.com/technet/archive/ntwrkstn/deploy/depopt/cloning.mspx

 

Note: If two workstations have the same primary SID and are participating in workgroup/local authentication security, the first user account generated (and so forth) on each workstation is the same because the SID on both computers is the same. See "Consequences of Duplicate SIDs in a Workgroup Environment" for an example. More information: MS TechNet : 162001

.....

 

Consequences of duplicate SIDs in a workgroup environment

 

If a company has 500 cloned desktop computers—all with the same SID—running in a workgroup/peer-to-peer model, significant security challenges arise. Each workstation would have no way of differentiating a local account from a remote account. Restrictive access to secured files and directories through SID certification would be impossible, and tokens being used would all contain the same SID. The entire security structure based on SIDs and access tokens would be compromised. For more information see MS TechNet : 163846

 

Example:

 

\\WS1 and \\WS2 are two workstations at Netwerks Corporation. Deployed using a binary disk image–copying program, these workstations have duplicate security identifiers.

 

Eric on \\WS1 has a local machine account on WS1 of S-1-5-21-191058668-193157475-1542849698-1000.

 

Stephanie on \\WS1 has a local machine account on WS2 of S-1-5-21-191058668-193157475-1542849698-1000.

 

Eric is performing employee performance reviews and saving his information to C:\Data\Reviews on his local NTFS drive. He uses Windows NT Explorer to share the directory and to set the security rights so that he is the owner and only he has rights to access the files.

 

Stephanie is logged onto \\WS2 and is browsing the network using Network Neighborhood. She recognizes \\WS1 as Eric's machine and attempts to connect to a Reviews share that Eric created. She is given complete control over the contents because her SID (S-1-5-21-191058668-193157475-1542849698-1000) is identical to Eric's (S-1-5-21-191058668-193157475-1542849698-1000). As one can see, there is no way to differentiate WS1\Eric from WS2\Stephanie because the SIDs are identical.

 

Taking this to the next logical step, any data stored on removable media that are formatted using a secure NTFS scheme is no longer secure. Because duplicate SIDs exist, there is no way to completely secure sensitive data in an environment of binary duplicated machines that share an identical SID.

 

Consequences of duplicate SIDs in a domain environment

 

If you had the same 500 disk-imaged desktop computers running in a domain model, all with the same SID, the impact is significantly lessened. All users are logging into a domain and are being assigned a domain-based user SID. This SID is, by nature of the domain model, guaranteed to be unique and can be used to secure files and resources within the network. The Security Account Manager has no problems distinguishing users because they are coming from a common, centralized domain security database and all processes and tokens are running within each user's security context. Note You will still have local security issues when dealing with local machine accounts (administrator, guest, etc.) as outlined above.

 

 

Greetz

 

Gulp

Link zu diesem Kommentar

 

Du brauchst kein Tool, um einen geklonten Rechner in eine Domäne aufzunehmen, denn jeder Rechner erhält bei der Aufnahme in eine Domäne eine neue SID.

 

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/9a353810-8e3a-4023-a557-db1a686d8ec8.mspx

 

RID master

Whenever a domain controller creates a user, group, or computer object, it assigns the object a unique security ID (SID). The SID consists of a domain SID, which is the same for all SIDs created in the domain, and a RID, which is unique for each SID created in the domain.

 

Was bitte ist daran nicht richtig? :wink2:

 

 

Gruss

Velius

 

 

P.S.: Den Rechner einer Domäne beitretten lassen hat im Übrigen den selben Effekt, wie das Konto im AD erstellen!

Link zu diesem Kommentar

@Velius:

 

Wer lesen kann ist klar im Vorteil ;-) :

 

.. Whenever a domain controller ..... it assigns THE OBJECT ....

 

Hier ist das Objekt in der SAM/ADS gemeint und das hat tatsächlich eine unique SID.

 

Die Local Workstation SID tangiert das allerdings überhaupt nicht, richtest Du nämlich einen lokalen Benutzer ein, so hat dieser keinen Domänenanteil in seiner SID sondern nur den Deiner Maschine.

 

Daher spielt es sehr wohl eine, wenn auch untergeordnete, Rolle, ob man die SID's ändert oder nicht.

 

Die einzige Ausnahme sind die Domain Controller selbst, denn die ändern tatsächlich ihre SID, deshalb sollst Du laut MS auch niemals einen DC mit bereits installiertem ADS (oder bei NT der SAM) clonen.

 

Ausserdem ...

 

Deine angeführten Websites erzählen nur was von Rollen (beträfe nur DC's ) oder User/Gruppen, bei meiner Site ist ein explizites Beispiel der Local Workstation SID in einer Domain aufgeführt.

 

Greetz

 

Gulp

Link zu diesem Kommentar

äh hallo??

 

 

Ich glaube, du kannst nicht lesen.....

 

Der Satz lautet:

Whenever a domain controller creates a user, group, or computer object, it assigns the object a unique security ID (SID)

 

...was sinngemäs soviel bedeutet wie, dass wenn ein Objekt in einer Domäne erstellt wird, dieses eine eindeutige SID bekommt. Das "whenver a domain controller...." sollte darauf hinweisen, dass nur Controller Objekte erstellen können, Server Computer und Benutzer schon gar nicht. Benutzer können das Recht haben, diesen Prozess auszulösen, aber ausgeführt wird das auf dem Controller. Darum kannst du auch keine Objekte hinzufügen, wenn der RID-Pool erschöpft und der RID-Master nicht da ist. (Deswegen auch meine Links).

 

Ausserdem bindet AD/NTFS noch einiges mehr als blos die Zugriffsrechte an die SID.

Bestes Besipiel: Computerpasswörter. Was meinst du, wie AD die Computerpasswörter managet? Und sag jetzt nicht über WINS/DNS, denn das sind Namensauflösungs Mechanismen....

 

 

 

Aber was soll's, du wirst eh an deine Version glauben.....

:cry::cry: :rolleyes: :rolleyes:

 

 

P.S.: Deine Links sollten den Vorgang für User SID verdeutlichen, erwähnen aber nicht das praktische Verhalten von gleichen Computer SID's in einer Domäne.

 

P.P.S.: Aus deinem eigenen Link:

What exactly is a SID?

 

A user or group account includes a security identifier (SID), a unique number that identifies the account. Every user account and workstation or server running Windows NT on your network is issued a unique SID when the account is first created or the computer joins a domain

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...