搜尋本站文章

2017-02-01

Sysprep 命令列,變更SID,以 Windows Server 2016 為例

在使用虛擬機器時,採取「複製虛擬機器」的方式來建置多台虛擬機器,可簡化安裝建置的時間。

但每台虛擬機器的電腦安全性識別碼(SID,Security Identifie),因為採取複製方式,導致其電腦安全性識別碼都重複相同。

影響
這個問題會影響到各種工作群組環境中的安全性,而且卸除式媒體安全性在具有多重相同電腦 SID 的網路中也會受到影響。

使用系統準備(Sysprep)工具,會將電腦設定為重新開機時,建立新的電腦安全性識別碼(SID)。

系統準備(Sysprep)的功能

  • 從 Windows 映像移除電腦特定資訊,包括電腦的安全性識別碼 (SID)。這樣即可擷取映像並將它套用到其他電腦。這又稱為將電腦「一般化」。
  • 解除安裝電腦特定驅動程式
  • 設定 PC 開機到 OOBE,準備將電腦交付給客戶。
  • 可讓您將回應檔案 (自動) 設定新增到現有安裝。


注意事項

在完成變更SID(Security Identifier)後,系統相關的組態會重置,例如:
設定時區、鍵盤、電腦名稱、登入帳戶的密碼、「Windows 需要重新啟用」等。



Sysprep 命令列,變更SID

示範環境:
Windows Server 2016 Datacenter 版本。

-- 01_使用whoami,user參數,查詢SID



-- 02_命令提示列視窗,執行以下命令:

Sysprep 會重設安全性識別碼 (SID),清除任何系統還原點以及刪除事件記錄檔,並重新啟動作業系統到 OOBE 模式。

提醒:
要切換到指定目錄:C:\Windows\System32\Sysprep

cd C:\Windows\System32\Sysprep
Sysprep /generalize /oobe /reboot



-- 03_再度使用whoami查詢,觀察到:電腦名稱、安全性識別碼 (SID)等,都已經重設。






Sysprep 會重設安全性識別碼 (SID)的安裝抓圖

Sysprep 命令列,變更SID,以 Windows Server 2016 為例



Sysprep 參數說明


/generalize
準備要進行映像處理的 Windows 安裝。Sysprep 會從 Windows 安裝移除所有唯一的系統資訊。
Sysprep 會重設安全性識別碼 (SID),清除任何系統還原點以及刪除事件記錄檔。例如:
Sysprep /generalize /shutdown
下次電腦啟動時,specialize 設定階段就會執行。設定階段會建立新的安全性識別碼 (SID)。

/oobe
將電腦重新啟動到 OOBE 模式。例如:
Sysprep /generalize /shutdown /oobe
OOBE 可讓使用者自訂其 Windows 作業系統、建立使用者帳戶、命名電腦以及執行其他工作。
Sysprep 會在 OOBE 啟動之前,處理回應檔案之 oobeSystem 設定階段中的任何設定。

/reboot
重新啟動電腦。您可以使用此選項來稽核電腦,並驗證初次執行體驗是否運作正常。




限制

Sysprep 具有下列限制:

執行 Sysprep 時,僅會取代作業系統磁碟區上的安全性識別碼 (SID)。
如果一部電腦安裝了多個作業系統,您必須在每個映像上分別執行 Sysprep。

在某些情況下,在重新擷取 Windows 映像前所安裝的自訂應用程式可能需要一致的磁碟機代號。

有些應用程式會儲存包括系統磁碟機代號的路徑。

如果系統的磁碟機代號與應用程式指定的磁碟機代號不相符,則解除安裝、服務及修復狀況可能無法正常運作。

參照電腦和目的電腦上的隨插即用裝置不一定要是相同製造商的產品。
這些裝置包括數據機、音效卡、網路卡及視訊卡。不過,安裝程式中必須包括這些裝置的驅動程式。

並非所有伺服器角色都支援 Sysprep。如果一般化已設定特定伺服器角色的 Windows Server® 安裝,那麼在映像製作和部署程式之後,這些伺服器角色可能無法繼續運作。

如果您執行 Sysprep 時所在的 NTFS 檔案系統磁碟分割中有加密檔案或資料夾,這些資料夾中的資料會完全無法讀取而且無法恢復。

只有在電腦是工作群組成員而非網域成員時,Sysprep 工具才會執行。如果電腦加入網域,則 Sysprep 會將它從網域中移除。

如果電腦加入網域,且該網域的群組原則將強式帳戶密碼原則指派給該電腦,則所有使用者帳戶都會要求強式密碼。執行 Sysprep 或 OOBE 不會移除強式密碼原則。

Warning警告
如果在執行 Sysprep 或 OOBE 之前沒有將強式密碼指派給使用者帳戶,您可能就無法登入電腦。建議您永遠對使用者帳戶使用強式密碼。



參考資料

Sysprep 變更SID(Security Identifier),以 Windows Server 2012 為例
http://sharedderrick.blogspot.tw/2012/10/sysprep-sidsecurity-identifier-windows.html

Sysprep (System Preparation) Overview
https://msdn.microsoft.com/en-us/library/hh825209.aspx

Sysprep (系統準備) 概觀
https://msdn.microsoft.com/zh-tw/library/hh825209.aspx

Sysprep 命令列選項
https://msdn.microsoft.com/zh-tw/library/hh825033.aspx