Hallo zusammen,

Ich plane eine Inplace Migration von einer NT-Domain auf Active Directoy 2003 mit ca. 150 Clients. Die meisten dieser PC's wurden geclont mit Ghost und haben nun gleiche SID's. Die NT Domain mit den Clients läuft ohne Probleme.

Nun habe ich mich umgeschaut ob dies Probleme verursacht nach der Umstellung zu AD mit den SID. Die Meinungen sind ganz verschieden.

Meinung Microsoft:

Duplizierte SIDs stellen in einer domänenbasierten Umgebung kein Problem dar, da Domänenkonten SIDs haben, die auf der Domänen-SID basieren. Doch gemäß Microsoft Knowledge Base-Artikel Q162001 zur Vermeidung von Datenträgerduplikaten auf installierten Versionen von Windows NT basiert die Sicherheit in einer Arbeitsgruppenumgebung auf lokalen Konto-SIDs. Folglich kann eine Arbeitsgruppe nicht zwischen Benutzern unterscheiden, die auf zwei Computern mit der gleichen SID registriert sind. Auf alle Ressourcen, einschließlich Dateien und Registrierungsschlüssel, auf die der eine Benutzer Zugriff hat, hat auch der andere Zugriff.

Link: NewSID 4.10

Hier eine Aussage vom Forum in dem es auch um doppelte SID's ging:
Hallo,
in einer Domäne gibts keine Problem, da auf dem Client, Domänen SID vergeben werden.

Anders siehst aus, wenn die Clients in einer "Workgroup" laufen.

Schau dir mal den Artikel bei Sysinternals an: newsid

Die doppelten SID kommen vom clonen.
Da man die doppelten SID trotzdem vermeiden sollte, ( ist halt sauberer )
sollte das clonen entsprechent geändert werden.
Stichworte sind in dem Zusammenhang sind sysdiff, sysprep (für xp )

Dann gibt es aber auch noch ganz andere Aussagen, das dies umbedingt notwendig ist.

Vielfach wird geschrieben das Probleme in Workgroups auftretten können oder bei Wechselmedien (Zugriff).

Wie gesagt die Clients sind zur Zeit in der NT Domain ohne Probleme.

Mir ist klar das es besser wäre wenn jeder Client eine eigene SID hat, aber meine Frage ist nun sollte in einer Domänen Umgebung eigentlich keine Probleme geben?

Danke und Gruss Reto

doch könntest doch per Batch auf allen Rechner einmal die newSID laufen lassen bevor du migriest, dann wäre es sauber

hab ich mir auch schon überlegt. Aber braucht NewSID keine Admin-Berechtigung? Am liebsten würde ich dann das Script in die User Batch einfügen

du könntest dir ein einfaches script bauen und das ganze unter einen anderen Benutzernamen laufen lassen

Der Thread ist zwar schon nicht mehr so aktuell, aber ich wollte trotzdem noch was loswerden, da wir aktuell nämlich mit doppelten SID's zu kämpfen hatten.

Die SID's werden bei der Installation des Betriebssystems generiert. Diese sind eindeutig und werden später mit der ID von Benutzern und Gruppen verkettet. Welche Objekte noch mit ihr verketten werden, weiß ich jetzt nicht.

Die letzten vier Ziffern der SID eines Benutzers kennzeichnen den Benutzer selbst. Alle anderen vorangestellten Ziffern entsprechen der Computer-SID bzw. zuzüglich eines SID- Präfixes, dass auch die Domänenzugehörigkeit kennzeichnet. So kann man bei näherem Hinschauen also auch feststellen, "wohin" z.B. ein Benutzerkonto gehört.

Wird ein Computer nun in eine Domäne aufgenommen, werden seiner SID neue Informationen über die Domäne hinzugefügt. Das sind die ersten Zeichen einer SID, das sogenannte SID-Präfix, welches nun die Domäne kennzeichnet. Kennt man z.B. das Präfix eines Benutzers in einer Domäne, kann man ganz schnell feststellen, ob ein anderes Konto ebenfalls dieser Domäne angehört.

Zwar hat sich mit der Aufnahme in die Domäne die SID geändert, aber bei gleichen SIDs entstehen auch bei der Aufnahme in die gleiche Domäne doppelte SID's, da sie das gleiche Präfix erhalten.

Bsp. zwei Computer mit der gleichen SID:
Computer1 in DomäneS000 SID= S000-12345
danach in der DomäneS111 SID=S1111-12345

Computer2 in DomäneS000 SID= S000-12345
danach in der DomäneS111 SID=S1111-12345

Es wird KEINE komplett neue SID generiert, sondern nur das Präfix geändert. Der Rest, der sich aus der ursprünglichen Installation ergeben hatte, bleibt.

Anmerkung: Bei NT/2000 können sich Benutzer bzw. Computer mit doppelten SIDs nicht in der Domäne anmelden.

Probleme:
Es muss nicht zu Problemen mit doppelten SIDs kommen. Sie sind aber ein Sicherheitsproblem, da z.B. ein Konto mit derselben SID Zugriff auf Dateien bekommen kann, auch dann, wenn der Zugriff explizit verweigert ist.

Anwendungen können unter Umständen nicht richtig arbeiten. Unser Inventarisierungsprogramm funktionierte solange nicht mehr richtig, bis die doppelten SIDs im System beseitigt waren.

Domänencontroller mit gleichen SIDs können zu großen Problemen in Domänen führen (Vertrauensstellungen etc.).

Das Thema ist also nicht zu unterschätzen. Erst mal läuft es noch, irgendwann steht man dann da!!

Sorry, das mit dem Computerbeispiel war ziemlich blöde. So kann man das nicht sehen, da der Prozess der Generierung etwas komplizierter ist.

Wenn ich noch richtig informiert bin, wird die SID aus folgenden Informationen generiert:

- Produktkey und Logarithmus ergeben Installations-ID
- Hardwareinformationen (u.a. eindeutige MAC etc.) und Logarithmus ergeben Maschinen-ID
- Aus Installations-ID und Maschinen-ID wird die SID generiert

Aber doppelte SIDs sind nun mal möglich und können durchaus ein Problem sein. Und das reicht ja eigentlich schon, um sich beim Clonen von Systemen ein paar Gedanken mehr zu machen.

LG

mein kommentar zu diesem Thema:

es kann zu problemen führen. ich hatte z.B das Problem das ich mich nicht mehr anmelden konnte od. wie gesagt zugriffsberechtigungen

Das ist korrekt. Es gibt keine Probleme, weil die Domäne eine eigene SID herausgibt.

Geklonte XP-Clients machen so lange keine Schwierigkeiten als sie member der Domäne sind. Um jedoch späteren Problemen vorzubeugen empfiehlt es sich trotzdem dafür zu sorgen, dass auch die SID der Client sauber sind. Dafür wiederum existieren verschiedene Tools wie NewSID. Einfach im Internet suchen und herunterladen.

Hallo!
Es gibt ein sehr gutes Programm, das doppelte
Dateien vollständig löschen kann
Probier es aus.