שינוי SID ב win8

[עשרים ושתים]

האם מישהו הצליח להחליף SID בWIN 8 ניסיתי עם NEWSID הישן והטוב ללא הצלחה...
וגם SYSPREP המעצבן... לא עובד !!!

 

[DVD COAN]

כנראה שלא התעדכנת המון זמן או שלא ניסת לבצע זאת כי...
צר לי לבשר לך שהחל ממערכת Vista הכלי Newsid לא בתוקף (כולל צרות של חלונות כחולים ושאר בעיות) כי רוב מיקומי הרישום השתנו ואף נוספו חדשים.

השתמש בכלי מיקרוסוט sysprep או בכלי שורת פקודה אחר צד שלישי SIDCHG64

בהצלחה

 

[עשרים ושתים]

כנראה שלא התעדכנת המון זמן או שלא ניסת לבצע זאת כי...
צר לי לבשר לך שהחל ממערכת Vista הכלי Newsid לא בתוקף (כולל צרות של חלונות כחולים ושאר בעיות) כי רוב מיקומי הרישום השתנו ואף נוספו חדשים.

השתמש בכלי מיקרוסוט sysprep או בכלי שורת פקודה אחר צד שלישי SIDCHG64

בהצלחה

אני מקווה מאוד שאתה לא צודק אחרת אני הולך לחטוף בראש ... אני מוציא המון מחשבים עם win7 לאחר החלפת SID עם NEWSID
הSIDCH64 עבד לי טוב רק WIN8 ב8.1 הוא משבית הכל ורק התקנה מחדש עוזרת...
וSYSPREP עד כמה שהבנתי לא אפשרי בWIN8 אם הותקנו בו תוכנות צד שלישי....

וכל התקנה של WIN8 הופכת לסיוט...

 

[מי שאמר]

תכל'ס אני אישית לא רואה שום צורך להחליף SID
וזה אחרי התקנה של לפחות 130 מחשבים עם אותו SID באותו רשת. שעובדים יופי במשך כמה שנים.

תחכים אותי למה זה כ''כ דחוף לך ?

 

[DVD COAN]

תכל'ס אני אישית לא רואה שום צורך להחליף SID
וזה אחרי התקנה של לפחות 130 מחשבים עם אותו SID באותו רשת. שעובדים יופי במשך כמה שנים.

תחכים אותי למה זה כ''כ דחוף לך ?

אז מה בדיוק הבעיה שישנם מספר מחשבים עם אותו SID (מזהה אבטחה יחודי) או בקיצור.... So what is the big story???

ok... לא לחינם מיקרוסופט מתעקש על כך והסיבות ברובם אבטחה ובחלקם הקטן תקלות ושיבושים של זיהוי ורישום

מבחינת אבטחה במידה ומחשב מחובר למחשב מרוחק עם אותם מזהים מעוברים בניהם אותם הרשאות של מזהה אבטחה במקרה כזה המערכת המרוחקת לא מסוגלת להבחין בין SID של חשבון המערכת המקומית ל- SID של חשבון המחשב המתחבר מרחוק עם אותו SID המון מפרצות האבטחה הקיימות מנצלות זאת.

למשל, בארגונים שטכנאי פורס אותה מערכת על כל המחשבים ולא מבצע שינוי ניתן לחדור לכולם בקלות רבה ולהפיל מערכות עד כדי BSOD או חוסר תפקוד כליל.

(ניק עשרים ושתים כבר יוכל להסביר זאת)

כמו כן בסביבה של בקר תחום (DC) המערכת המקומית באמצעות ה- SAM מאומת מול מסד הנתונים של הבקר AD ברגע שמאומתים מספר מחשבים עם אותו מזהה SID יהו לך המון תקלות עם גישה למערכות לדוגמה שרת העדכונים WSUS לא יצליח להבדיל בין מערכות ועדכון המופץ ע"י זיהוי אבטחה לא יזהה נכון מערכות.

כמו כן שצריך לתחנות העבודה אימותים מול שרתי תעודות AC יגרמו לך חסימות, ועוד המון שירותים שאין כן הזמן לפרט....

ודוגמה אחרונה בארגונים שכך בנו את הרשת הטכנאים מוכרת בעית האבטחה שמדיה נשלפת עם מערכת קבצים NTFS יתאפשר לכבד את הרשאות ברירת המחדל בכל מערכת בעלת SID זהה.

 

[מי שאמר]

ok... לא לחינם מיקרוסופט מתעקש על כך והסיבות ברובם אבטחה ובחלקם הקטן תקלות ושיבושים של זיהוי ורישום

אבטחה OK.
תקלות ושיבושים של זיהוי ורישום: תכל'ס בשורה הסופית 0 תקלות.
זה עכ''פ מהנסיון שלי.

 

[עשרים ושתים]

אבטחה OK.
תקלות ושיבושים של זיהוי ורישום: תכל'ס בשורה הסופית 0 תקלות.
זה עכ''פ מהנסיון שלי.

ממה שאני יודע WSUS GPO RDP נתקלים בבעיות שונות ומשונות בגלל SID זהה

הבעיה העיקרית לדעתי היא שמייקרוסופט אימצו את KERBEROS (כל דבר טוב מתחיל בopen source)
שמשתמש בSID ובHASH של הPASSWORD לצורך יצירת הtoken כלומר(לא בדקתי אבל לפי התיאוריה) שני משתמשים אם אותו סיסמא (קורה הרבה!) ואותו SID (אסור שיקרה) יהיו אם אותם הרשאות ברשת ברמת הסרוויסים!!! צריך רק קצת דימיון בשביל להבין מה עלול ...