NewSID und der “Clone” Mythos

NewSID

Einen neuen Server als Kopie eines anderen anlegen spart Zeit.
Allerdings führt es zu einer doppelten Computer SID.
Dies kann man mit NewSID verhindern – muss man aber gar nicht.
…aus der Praxis

Neulich wollte ich eine Plattform für eine Test-Installation vorzubereiten. Ein Server war schnell installiert, den zweiten wollte ich aus dem ersten klonen, denn Zeit ist ja Geld. Als erfahrener Consultant im Microsoft Umfeld hatte ich im Hinterkopf, dass ein einfaches Kopieren einer installierten Maschine  Probleme verursachen kann.

Die gefürchteten Maschinen-SIDs sollen die Ursache sein, da sie in den Sicherheitseinträgen (Security Descriptor) sämtlicher schützbarer Objekte (Dateien, Ordner, Registry, Share usw… ) verewigt sind.
Mir seit langem das Tool NewSID von Sysinternals (jetzt Microsoft) bekannt. Es schlummerte seit ewig in einem Tools-Ordner auf meinem Notebook. Doch aus irgendeinem Grund war diesmal nicht mehr aufzufinden. Also mal eben ins Internet und eine frische Version herunterladen…

NewSID wird nicht mehr weiterentwickelt
– dennoch kein Problem

Erstaunt musste ich jedoch lesen, dass NewSID nicht mehr weiterentwickelt wird. Die Begründung las ich dann auch mit einiger Verwunderung in folgendem Beitrag von Mark Russinovich, dem Entwickler von NewSID:
http://blogs.technet.com/b/markrussinovich/archive/2009/11/03/3291024.aspx
Wie er deutlich darlegt, ist es in den meisten Fällen schlicht unnötig, die Computer-SID auszutauschen. Doch wenn man genauer darüber nachdenkt, wird es plötzlich ganz logisch. Man muss sich eigentlich nur überlegen, wann die Computer-SID überhaupt zum Einsatz kommt
.

Wann kommt die SID überhaupt zum Einsatz?

Und hier zeigt sich, dass die Computer-SID eigentlich nur auf dem Computer selbst eine Rolle spielt und auch nie den Rechner in Richtung Netzwerk verlässt.
Viele werden sich fragen ob das auch stimmt, wenn ein Computer Mitglied einer AD-Domäne ist und somit ein Computerobjekt existiert, dass ebenfalls Rechte auf andere Ressourcen haben kann. Hierzu muss man wissen dass jedes System, das Mitglied einer Domäne wird, eine eigene SID bekommt, die sich nur aus dem Domänenanteil und einer, in der Domäne eindeutigen ID ( RID ) zusammensetzt. Nur diese SID spielt bei der Berechtigungsvergabe eine Rolle. Sie ist im Computer-Objekt im AD hinterlegt und hat mit der Rechner-SID nichts zu tun.

Gruppenmitgliedschaften sind auch kein Problem, da rechnerlokale Gruppen und Benutzer niemals Mitglied eine Domänengruppe sein können.
Selbst in Workgroup Szenarien treten keine Probleme auf, da ein Zugriff auf einen anderen Computer nur über Benutzername/Kennwort erfolgt.

 

Welche Probleme gibt es mit doppelter Computer SID?

Auch wenn es in den meisten Fällen überhaupt keine Probleme mit geklonten Rechnern gibt, sollte man sich über folgende Einschränkungen bewusst sein:

  • Ein nicht mit „Sysprep“ behandeltes Rechnerabbild wird von Microsoft nicht unterstützt.
  • Programme, die den Rechner anhand der SID identifizieren haben verständlicherweise ein Problem.
  • Zugriff auf NTFS-formatierte Wechselmedien. Hier haben natürlich alle Standardgruppen von geklonten Rechnern Zugriff, möglicherweise auch individuelle Benutzer und Gruppen. Daher ist es in sicherheitskritischen Umgebungen ratsam, die Speichmedien besser zu verschlüsseln.
  • Domänenkontroller:
    Domänenkontroller sollten niemals kopiert werden, da die Rechner-SID des ersten DC die Basis für die Domänen-SID ist. Alle weiteren DCs übernehmen diesen SID Anteil. Hier kann man sich leicht vorstellen, was passiert, wenn die Domäne und deren Mitglieder gleichlautende SIDs haben.