{"id":4388,"date":"2014-07-31T08:31:15","date_gmt":"2014-07-31T07:31:15","guid":{"rendered":"http:\/\/192.168.10.121\/wordpress\/?p=4388"},"modified":"2014-07-31T08:33:47","modified_gmt":"2014-07-31T07:33:47","slug":"newsid-und-der-clone-mythos","status":"publish","type":"post","link":"https:\/\/sci-fy.de\/wordpress\/newsid-und-der-clone-mythos\/","title":{"rendered":"NewSID und der \u201cClone\u201d Mythos"},"content":{"rendered":"

\n\t\"NewSID\"<\/span>\n<\/p>\n

\n\tEinen neuen Server als Kopie eines anderen anlegen spart Zeit.
\n\tAllerdings führt es zu einer doppelten Computer SID.
\n\tDies kann man mit NewSID<\/strong> verhindern – muss man aber gar nicht<\/strong>.
\n\t…aus der Praxis<\/strong><\/span>\n<\/p>\n

\n\tNeulich wollte ich eine Plattform für eine Test-Installation vorzubereiten. Ein Server war schnell installiert, den zweiten wollte ich aus dem ersten klonen, denn Zeit ist ja Geld. Als erfahrener Consultant im Microsoft Umfeld hatte ich im Hinterkopf, dass ein einfaches Kopieren einer installierten Maschine  Probleme verursachen kann.<\/span><\/span>\n<\/p>\n

\n\t\n<\/p>\n

\n\tDie gefürchteten Maschinen-SIDs sollen die Ursache sein, da sie in den Sicherheitseinträgen (Security Descriptor) sämtlicher schützbarer Objekte (Dateien, Ordner, Registry, Share usw… ) verewigt sind.
\n\tMir seit langem das Tool NewSID von Sysinternals (jetzt Microsoft) bekannt. Es schlummerte seit ewig in einem Tools-Ordner auf meinem Notebook. Doch aus irgendeinem Grund war diesmal nicht mehr aufzufinden. Also mal eben ins Internet und eine frische Version herunterladen…<\/span><\/span>\n<\/p>\n

\n\tNewSID wird nicht mehr weiterentwickelt
\n\t– dennoch kein Problem<\/span><\/span>
\n<\/h2>\n

\n\tErstaunt musste ich jedoch lesen, dass NewSID nicht mehr weiterentwickelt wird. Die Begründung las ich dann auch mit einiger Verwunderung in folgendem Beitrag von Mark Russinovich, dem Entwickler von NewSID:
\n\thttp:\/\/blogs.technet.com\/b\/markrussinovich\/archive\/2009\/11\/03\/3291024.aspx<\/font><\/a>
\n\tWie er deutlich darlegt, ist es in den meisten Fällen schlicht unnötig, die Computer-SID auszutauschen. Doch wenn man genauer darüber nachdenkt, wird es plötzlich ganz logisch. Man muss sich eigentlich nur überlegen, wann die Computer-SID überhaupt zum Einsatz kommt<\/span>.<\/span>\n<\/p>\n

\n\tWann kommt die SID überhaupt zum Einsatz?<\/span><\/span>
\n<\/h3>\n

\n\tUnd hier zeigt sich, dass die Computer-SID eigentlich nur auf dem Computer selbst eine Rolle spielt und auch nie den Rechner in Richtung Netzwerk verlässt.
\n\tViele werden sich fragen ob das auch stimmt, wenn ein Computer Mitglied einer AD-Domäne ist und somit ein Computerobjekt existiert, dass ebenfalls Rechte auf andere Ressourcen haben kann. Hierzu muss man wissen dass jedes System, das Mitglied einer Domäne wird, eine eigene SID<\/strong> bekommt, die sich nur aus dem Domänenanteil und einer, in der Domäne eindeutigen ID<\/strong> ( RID ) zusammensetzt. Nur diese SID spielt bei der Berechtigungsvergabe eine Rolle. Sie ist im Computer-Objekt im AD hinterlegt und hat mit der Rechner-SID nichts zu tun<\/strong>.<\/span><\/span>\n<\/p>\n

\n\tGruppenmitgliedschaften sind auch kein Problem, da rechnerlokale Gruppen und Benutzer niemals Mitglied eine Domänengruppe sein können.
\n\tSelbst in Workgroup Szenarien treten keine Probleme auf, da ein Zugriff auf einen anderen Computer nur über Benutzername\/Kennwort erfolgt.<\/span><\/span>\n<\/p>\n

\n\t \n<\/p>\n

\n\tWelche Probleme gibt es mit doppelter Computer SID?<\/span><\/span><\/p>\n

\tAuch wenn es in den meisten Fällen überhaupt keine Probleme mit geklonten Rechnern gibt, sollte man sich über folgende Einschränkungen bewusst sein:<\/span><\/span>
\n<\/h3>\n