搜尋本站文章

2017-02-01

Sysprep 圖形化使用者介面,變更SID(Security Identifier),以 Windows Server 2016 為例

在使用虛擬機器時,採取「複製虛擬機器」的方式來建置多台虛擬機器,可簡化安裝建置的時間。

但每台虛擬機器的電腦安全性識別碼(SID,Security Identifie),因為採取複製方式,導致其電腦安全性識別碼都重複相同。

影響
這個問題會影響到各種工作群組環境中的安全性,而且卸除式媒體安全性在具有多重相同電腦 SID 的網路中也會受到影響。

使用系統準備(Sysprep)工具,會將電腦設定為重新開機時,建立新的電腦安全性識別碼(SID)。



Sysprep 圖形化使用者介面


示範環境:
Windows Server 2016 Datacenter 版本。

-- 01_使用whoami,user參數,查詢SID



-- 02_使用檔案總管,執行C:\Windows\System32\Sysprep目錄下的Sysprep.exe。

使用參數:
系統清理動作:進入系統全新體驗(ODBE)。
勾選:一般化。
關機選項:重新開機。

Sysprep 會重設安全性識別碼 (SID),清除任何系統還原點以及刪除事件記錄檔






-- 03_再度使用whoami查詢,觀察到:電腦名稱、安全性識別碼 (SID)等,都已經重設。







限制

Sysprep 具有下列限制:
執行 Sysprep 時,僅會取代作業系統磁碟區上的安全性識別碼 (SID)。
如果一部電腦安裝了多個作業系統,您必須在每個映像上分別執行 Sysprep。

在某些情況下,在重新擷取 Windows 映像前所安裝的自訂應用程式可能需要一致的磁碟機代號。
有些應用程式會儲存包括系統磁碟機代號的路徑。如果系統的磁碟機代號與應用程式指定的磁碟機代號不相符,則解除安裝、服務及修復狀況可能無法正常運作。

參照電腦和目的電腦上的隨插即用裝置不一定要是相同製造商的產品。這些裝置包括數據機、音效卡、網路卡及視訊卡。不過,安裝程式中必須包括這些裝置的驅動程式。

並非所有伺服器角色都支援 Sysprep。如果一般化已設定特定伺服器角色的 Windows Server® 安裝,那麼在映像製作和部署程式之後,這些伺服器角色可能無法繼續運作。

如果您執行 Sysprep 時所在的 NTFS 檔案系統磁碟分割中有加密檔案或資料夾,這些資料夾中的資料會完全無法讀取而且無法恢復。

只有在電腦是工作群組成員而非網域成員時,Sysprep 工具才會執行。如果電腦加入網域,則 Sysprep 會將它從網域中移除。

如果電腦加入網域,且該網域的群組原則將強式帳戶密碼原則指派給該電腦,則所有使用者帳戶都會要求強式密碼。執行 Sysprep 或 OOBE 不會移除強式密碼原則。

Warning警告
如果在執行 Sysprep 或 OOBE 之前沒有將強式密碼指派給使用者帳戶,您可能就無法登入電腦。建議您永遠對使用者帳戶使用強式密碼。




參考資料

Sysprep 變更SID(Security Identifier),以 Windows Server 2012 為例
http://sharedderrick.blogspot.tw/2012/10/sysprep-sidsecurity-identifier-windows.html

Sysprep (System Preparation) Overview
https://msdn.microsoft.com/en-us/library/hh825209.aspx

Sysprep (系統準備) 概觀
https://msdn.microsoft.com/zh-tw/library/hh825209.aspx

Sysprep 命令列選項
https://msdn.microsoft.com/zh-tw/library/hh825033.aspx

沒有留言:

張貼留言