2012-10-15

Sysprep 變更SID(Security Identifier),以 Windows Server 2012 為例


示範環境:
Windows Server 2012 Datacenter 版本。

系統準備 (Sysprep) 工具會將電腦設定為重新開機時建立新的電腦安全性識別碼 (SID),以便將電腦準備好交付給客戶。

此外,Sysprep 工具還會移除不能複製到目的電腦的使用者與電腦特定設定與資料。

在使用虛擬機器時,是可以採取複製虛擬機器的方式來建置多台虛擬機器。

雖然這個方法省去了其他還原方式的作業時間與麻煩,但是還有一個主要的問題,就是每個複製的系統,都有相同的電腦安全識別碼 (SID)。

這個問題會影響到各種工作群組環境中的安全性,而且卸除式媒體安全性在具有多重相同電腦 SID 的網路中也會受到影響。

注意事項

在完成變更SID(Security Identifier)後,系統相關的組態會重置,例如:
設定時區、鍵盤、電腦名稱、登入帳戶的密碼、「Windows 需要重新啟用」等。

警告

如果在執行 Sysprep 或 OOBE 之前沒有將強式密碼指派給使用者帳戶,您可能就無法登入電腦。

建議您永遠對使用者帳戶使用強式密碼。



我們將示範兩種方式:

1. Sysprep 圖形化使用者介面
2. Sysprep 命令列



Sysprep 圖形化使用者介面

-- 01_查詢原本SID



位於資料夾路徑:C:\Windows\System32\Sysprep

-- 02_檢視 Sysprep 資料夾路徑



-- 03_執行與檢視 Sysprep



-- 04_執行與檢視 Sysprep_2



-- 05_執行與檢視 Sysprep_3



-- 06_執行 Sysprep



選擇:進入系統全新體驗(ODBE)。
勾選:一般化。
選擇:關機。

-- 07_Sysprep 執行中_正在處理一般化階段 Sysprep 外掛程式



-- 08_查詢Sysprep後的SID



在筆者的機器上,約耗用:120 秒



Sysprep 命令列

如果您打算將部署安裝映像建立到不同的電腦,即使其他電腦具有相同的硬體設定,仍必須執行 Sysprep 命令搭配 /generalize 選項。

Sysprep /generalize 命令會從 Windows 安裝中移除唯一的資訊,如此便可讓您安全地在不同電腦重新使用該映像。
下次 Windows 映像開機時,就會執行 specialize 設定階段。

使用範例:

Sysprep /generalize /oobe /mode:vm /shutdown


經過測試,若是不使用 /shutdown,在 Sysprep 命令完成執行之後,一樣是會關閉電腦。


其中,選項:/mode:vm

這是 Windows® 8 中的新功能。
將虛擬硬碟 (VHD) 一般化,讓您可在相同虛擬機器 (VM) 或 Hypervisor 上將 VHD 部署為 VHD。

唯一套用到 VM 模式的其他參數是 /reboot、/shutdown 以及 /quit。

重要
您只能從 VM 內部執行 VM 模式。您不能將 VHD 部署到任何電腦。


-- 09_使用Sysprep 命令列



-- 10_正在執行Sysprep 命令列



在筆者的機器上,約耗用:30 秒


下表列出 Sysprep 命令列選項

-- 11_Sysprep 命令列選項





認識 Sysprep

系統準備 (Sysprep) 工具會將 Windows(R) 映像從一般化狀態變更為特殊化狀態,然後再變更回一般化狀態。

一般化映像可以部署到任何電腦上;特殊化映像則是針對特定電腦。

您必須重新封裝或一般化 Windows 映像後,才能擷取和部署映像。
例如,當您使用 Sysprep 工具來一般化映像時,Sysprep 會移除所有系統特定資訊並重設電腦。

下次電腦重新啟動時,您的客戶可以透過全新體驗 (OOBE) 並接受 Microsoft(R) 軟體授權條款來新增使用者特定資訊。

您可以從命令列工具或圖形使用者介面 (GUI) 工具來執行 Sysprep。

如果您打算將部署安裝映像建立到不同的電腦,即使其他電腦具有相同的硬體設定,仍必須執行 Sysprep 命令搭配 /generalize 選項。

Sysprep /generalize 命令會從 Windows 安裝中移除唯一的資訊,如此便可讓您安全地在不同電腦重新使用該映像。

Sysprep 具有下列限制:

執行 Sysprep 時,僅會取代作業系統磁碟區上的電腦安全性識別碼 (SID)。
Sysprep 一般化映像時,僅會一般化一般磁碟分割。

因此,如果一部電腦安裝了多個作業系統,您必須在每個映像上分別執行 Sysprep。

如果您要套用多個磁碟分割,則可以使用 BCDBoot 工具將開機設定資料複製到系統磁碟分割。如需詳細資訊,請參閱 BCDboot 命令列選項。

在某些情況下,在重新擷取 Windows 映像前所安裝的自訂應用程式可能需要一致的磁碟機代號。

有些應用程式會儲存包括系統磁碟機代號的路徑。如果系統的磁碟機代號與應用程式指定的磁碟機代號不相符,則解除安裝、服務及修復狀況可能無法正常運作。

參照電腦和目的電腦上的隨插即用裝置不一定要是相同製造商的產品。
這些裝置包括數據機、音效卡、網路卡及視訊卡。不過,安裝程式中必須包括這些裝置的驅動程式。

並非所有伺服器角色都支援 Sysprep。
如果您針對已設定特定伺服器角色的 Windows Server® 2012 安裝執行 Sysprep /generalize 命令,則這些伺服器角色在映像建立和部署後可能無法繼續運作。如需詳細資訊,請參閱伺服器角色的 Sysprep 支援。

如果您執行 Sysprep 時所在的 NTFS 檔案系統磁碟分割中有加密檔案或資料夾,這些資料夾中的資料會完全無法讀取而且無法恢復。

只有在電腦是工作群組成員而非網域成員時,Sysprep 工具才會執行。
如果電腦加入網域,則 Sysprep 會將它從網域中移除。

如果電腦加入網域,且該網域的群組原則將強式帳戶密碼原則指派給該電腦,則所有使用者帳戶都會要求強式密碼。
執行 Sysprep 或 OOBE 不會移除強式密碼原則。

警告
如果在執行 Sysprep 或 OOBE 之前沒有將強式密碼指派給使用者帳戶,您可能就無法登入電腦。建議您永遠對使用者帳戶使用強式密碼。

OOBE
全新體驗(Out-Of-Box Experience,OOBE)

當您使用 Sysprep 工具來一般化映像時,Sysprep 會移除所有系統特定資訊並重設電腦。
下次電腦重新啟動時,您的客戶可以透過全新體驗 (OOBE) 並接受 Microsoft 軟體授權條款來新增使用者特定資訊。

您可以從命令列工具或圖形使用者介面 (GUI) 工具來執行 Sysprep。



參考資料:

系統準備 (Sysprep) 技術參考
http://technet.microsoft.com/zh-tw/library/hh825209.aspx

Sysprep Overview
http://technet.microsoft.com/en-us/library/hh824816.aspx

Sysprep 命令列選項_適用於: Windows 8
http://technet.microsoft.com/zh-tw/library/hh825033.aspx

http://technet.microsoft.com/en-us/library/hh825033.aspx

oobeSystem:全新體驗 (OOBE)
http://technet.microsoft.com/zh-tw/library/hh824967.aspx

What does the new Sysprep "VM Mode" do?
http://social.technet.microsoft.com/Forums/en/w8itproinstall/thread/c123efb8-ad69-4a31-81b9-4671465eadb1

伺服器角色的 Sysprep 支援
http://technet.microsoft.com/zh-tw/library/hh824835.aspx

變更SID(Security Identifier),以Windows Server 2008 R2為例
http://sharedderrick.blogspot.tw/2010/02/sidsecurity-identifierwindows-server.html

忘記 Administrator 密碼,使用開機修復光碟:ERD Commander 的 LockSmith 來重設密碼;以 Windows Server 2008 R2 為例。
http://sharedderrick.blogspot.tw/2010/02/administrator-erd-commander-locksmith.html
















沒有留言:

張貼留言