Russinovich nyugdíjazta a NewSID segédprogramot

Microsoft, Windows

Mark Russinovich - ismert Windows guru, Microsoft alkalmazott - blogjában arról ír, hogy nyugdíjazza az általa több mint egy évtizeddel ezelőtt írt NewSID segédprogramot. Aki klónozással, image-eléssel állított már elő Windows-t futtató számítógépeket nagyobb mennyiségben, az teljesen biztos, hogy találkozott már a programmal.

Ez az a program, amellyel klónozás után lecserélhetjük a másolat operációs rendszer machine Security Identifier-ét. Eddig az volt a hivatalos álláspont, hogy minden gépnek egyedi SID-jének kell lennie. Az volt a feltevés, hogy azonos SID különböző problémákhoz (akár biztonsági) vezethetnek. Russinovich most utánajárt a problémának alaposabban, és kisütötte - nagy meglepetésre -, hogy a "több gép azonos SID-del" felállás - egy esetet kivéve - nem hordoz magában semmilyen problémát, ezért nyugdíjazza a NewSID-et. Sőt, a Microsoft hivatalos álláspontja is megváltozik a SID duplikációval kapcsolatban és elképzelhető, hogy a jövőben a Sysprep is kihagyja majd az új SID generálás lépést.

A blogbejegyzés itt.

( trey | 2009. 11. 04., sze – 14:39 )

Haha, az összes, elmúlt 10+ évben tartott Microsoft preinstall tanfolyam anyagát a tűzre lehet dobni. Most akkor bevallom a frankót. Tanfolyamokon állandóan sulykolták ezt a témát. Ennek ellenére nem egy alkalommal felejtettem el új SID-et generálni, de még soha, semmilyen problémát sem okozott.

--
trey @ gépház

Ez egy nagyon érdekes hír. Visszaemlékezve a főiskolás időkre, amikor még 3 gépteremben 20-25 gép / terem szinten imagelve húztuk újra a gépeket hát hogy is mondjam igazán.....
ERŐSEN köhögtek a Windowsok.

Windows 2000-el kezdtünk majd Windows XP-vel fejeztük be.
Gyorsba rákérdezve egy szintén sorstárstól ő is ugyanarra emlékezett nagy vonalakban mint én.

A hibajelenség pedig az alábbi volt:
Gép imagelés után újraindulva az alábbi kedves üzenet jelent meg a képernyőn mindíg: "Hálózati cím ütközés."

Domainbe nem voltak beléptetve csak sima munkacsoportos gépek voltak, de a nyakamat rá, hogy ha már a hálózattal köhögtek akkor a domainnal se lettek volna kibékülve.

Persze az már más tészta, hogy az imagelt gépek nevének megváltoztatásával automatikusan újragenerálódik a SID érték is.... :D

"Persze az már más tészta, hogy az imagelt gépek nevének megváltoztatásával automatikusan újragenerálódik a SID érték is.... :D"

Ez biztos így van? Erre már nem emlékszem. Akkor ez magyarázat lehet(ne) arra, hogy nekem sosem volt ilyen problémám, még akkor sem, amikor elfelejtettem a NewSID-et.

--
trey @ gépház

Akkor valószínűleg a "nemkell a NEWSID" ötlet se annyira butaság egyszerűen csak arra gondolt, hogy úgy is valami módon a gépnév megváltoztatása vagy a tartományba léptetés megtörténik és így nem lehet probléma a SID értékével sem.

De ki is jár végig x*10 gépen kézzel nevet változtatni meg gépet beléptetni ha távolról scriptelve is lehet. Ja hogy akkor meg a SID nem változik .... hát igen.... majd nemsokára kitalálnak valami forradalmi okosságot jópénzért, amivel lehet imagelni a gépeket és megoldódik ez a probléma is.

De ki is jár végig x*10 gépen kézzel nevet változtatni meg gépet beléptetni ha távolról scriptelve is lehet.

Erről tudnál bővebben írni? Nekem az lenne az ideális, ha valahogy a gép DHCP-n kapott hostnevét tudnám megadni gépnévnek. Megoldható ez? (nincs windows szerverem, egy gépen készül a master image, majd sysprep, és utána terítve clonezillával)

Petya

Mi nem syspreppel csináltuk a rendszert hanem egyszerűen csak létrehoztuk a rendszert majd leimageltük. Persze első induláskor benne volt pár program, amely egyszer lefutott és soha többé. Ez végezte el a névátírást, sid generálást meg, amit kellett.

A gép a kapott IP cím alapján generált egy nevet, amely az adott hálózathoz illeszkedett.
Tippem szerint ahhoz, hogy a DHCP-től kapott hostnév kerüljön bele statikusként csak egy két plussz script,program kellhet nem több.

Mellesleg az rendszer annó NU2-vel gyártott Dos-os rendszerrel indult és Ghost-al imageltünk, amelyet
lecseréltünk azóta Linuxra és partimage-re. Minden zokszó nélkül évek óta használatban van már.

Clonezilla, kivaloan mukodik, megmondod hogy ezek a gepek fognak "imidzsolni", szepen bevarjak egymast, aztan multicasttal megkapjak az adatot.
szinpadi compo lanokon hasznaltuk, mire a csapatok lecuccoltak, meg a masik fel, mar keszen is volt a zsir uj XP-juk. (gyk: 10-15 perc)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nem kell bemutatni őket. Az általam leírt megoldást 4 éve hagytuk ott a főiskolán.
Akkor ez volt a trendi. A kezdeti állapotokhoz képest "amikor is pár darab kisfloppyval vagy CD-vel rohangált végig az ember és az ezekről elindult rendszeren pötyögött pár parancsot be" már jócskán eltelt pár év és a lehetőségek is bővültek rendesen. Így szépen lassan változott a rendszer is.

A floppys rendszer is már belegondolni is rossz... több mint 6-7 éve volt. Ezt a rendszert kaptuk meg készen és ebből lett aztán a hálózatról felbootol a gép és mindent automatikusan csinál.

Sajnos a switchek és a hálókártyák (SMC) nem kimondottan kedvelték egymást ezért a WakeOnLan nem ment rendesen így maradt a kézzel kapcsolom be és majd újratelepíti magát történet.

Pedig milyen szép látván is, amikor rendes eszközparkon beülsz a terem hátuljába egy notebookkal és a szerveren azt mondod, hogy : "1-est terem települj újra. De azonnal!" :D

a masik megoldas, meg amikor elindul egy szenne butitott OS, kivalaszod melyik virtualis gepet inditsa, bebootol az is, lehet matatni mindent, de amikor kilep az user, akkor minden valtozas megy a lecsoba. persze ehhez megfelelo gepek is kellenek.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ha ez így van, akkor Russinovich nem mond igazat:

"The more I thought about it, the more I became convinced that machine SID duplication – having multiple computers with the same machine SID – doesn’t pose any problem, security or otherwise. I took my conclusion to the Windows security and deployment teams and no one could come up with a scenario where two systems with the same machine SID, whether in a Workgroup or a Domain, would cause an issue."

--
trey @ gépház