Mark Russinovich a écrit un article sur son blog pour démystifier le principe du SID sur Windows. D'après lui, la croyance populaire selon laquelle avoir des ordinateurs avec le même SID poserait des problèmes de sécurité et autres, n'est plus d'actualité. Bizzare non ? Je fais partie de ceux qui ont longtemps cru que le SID devait être unique sur le réseau sinon j'allais rencontrer de sérieux ennuis...
The Deployment Guys ont également ajouté leur contribution en expliquant les impacts du Sysprep et les différents mécanismes associés.
Les articles sont très intéressants mais comme toujours, en anglais et je sais que certains de mes confrères ne sont pas à l'aise avec la langue de Shakespeare.
Pour eux, je vais tenter de résumer tout cela :
Mark Russinovich a créé NewSID à une époque où le Sysprep de Microsoft sur Windows NT ne pouvait pas regénérer de SID lorsque des applications étaient installées. Depuis, les temps ont bien changé...
Une des raisons pour lesquelles Microsoft ne supporte pas d'autre outil que Sysprep (y compris NewSID) pour préparer à la duplication est que les outils tiers ne connaissent pas forcément tous les endroits où il existe des références au SID de la machine. La raison principale étant que Sysprep ne fait pas que changer le SID. Le processus est plus sophistiqué et s'est complexifié à chaque nouveau système d'exploitation de Microsoft.
Depuis Windows NT 4.0, le processus du Sysprep comprend en réalité 2 phases. La première est l'exécution du Sysprep pour préparer la machine à la duplication, la seconde est le Mini-Setup qui permet de changer l'OS pour qu'il se comporte comme une nouvelle et unique installation de Windows. Depuis Windows Vista, on appelle ces phases 'Generalize' et 'Specialize'. Pour reprendre les termes de The Deployment Guys, je vais appeler ces phases "Phases de duplication".
Sur Windows NT 4.0 les phases de duplication effectuaient un nombre limité de tâches telles que réinitialiser le SID, modifier les chaînes texte de marquage OEM, modifier le Product ID et changer le nom d'ordinateur.
The Deployment Guys ont également ajouté leur contribution en expliquant les impacts du Sysprep et les différents mécanismes associés.
Les articles sont très intéressants mais comme toujours, en anglais et je sais que certains de mes confrères ne sont pas à l'aise avec la langue de Shakespeare.
Pour eux, je vais tenter de résumer tout cela :
Mark Russinovich a créé NewSID à une époque où le Sysprep de Microsoft sur Windows NT ne pouvait pas regénérer de SID lorsque des applications étaient installées. Depuis, les temps ont bien changé...
Une des raisons pour lesquelles Microsoft ne supporte pas d'autre outil que Sysprep (y compris NewSID) pour préparer à la duplication est que les outils tiers ne connaissent pas forcément tous les endroits où il existe des références au SID de la machine. La raison principale étant que Sysprep ne fait pas que changer le SID. Le processus est plus sophistiqué et s'est complexifié à chaque nouveau système d'exploitation de Microsoft.
Depuis Windows NT 4.0, le processus du Sysprep comprend en réalité 2 phases. La première est l'exécution du Sysprep pour préparer la machine à la duplication, la seconde est le Mini-Setup qui permet de changer l'OS pour qu'il se comporte comme une nouvelle et unique installation de Windows. Depuis Windows Vista, on appelle ces phases 'Generalize' et 'Specialize'. Pour reprendre les termes de The Deployment Guys, je vais appeler ces phases "Phases de duplication".
Sur Windows NT 4.0 les phases de duplication effectuaient un nombre limité de tâches telles que réinitialiser le SID, modifier les chaînes texte de marquage OEM, modifier le Product ID et changer le nom d'ordinateur.
Depuis Windows 2000, Microsoft a fait évoluer le processus en ajoutant des tâches supplémentaires comme par exemple l'activation/désactivation de la Restauration Système, la réinitialisation des paramètres TAPI, le nettoyage de la base d'information des périphériques, la réinitialisation de la détection PnP (Plug & Play) etc...
Avec une exception (qui est détaillée plus loin dans ce post), Mark explique que Windows n'expose jamais son SID en dehors de l'ordinateur sur lequel il est installé; ce qui signifie que cela ne pose pas de problème d'avoir des machines avec le même SID sur le même réseau (en mode workgroup ou en mode domaine). C'est pourquoi il a décidé d'envoyer son outil NewSID à la retraite.
L'exception dont il s'agit concerne les contrôleurs de domaine. Chaque domaine possède un SID unique de domaine (généré automatiquement lors de l'installation du domaine) et chaque SID machine de contrôleur de domaine "matche" avec le SID de domaine. Nous sommes dans le cas où le SID d'une machine est exposé sur le réseau car il est référéncé par d'autres ordinateurs. Donc, cela signifie que les ordinateurs membres d'un domaine ne peuvent pas avoir le même SID de machine que les contrôleurs de domaine et donc ne peuvent pas non plus avoir le même SID que le domaine.
En conclusion, il est possible d'avoir des machines avec le même SID sur un réseau, qu'elles soient en workgroup ou membres d'un domaine à l'exception des contrôleurs de domaine. Mais n'oublions pas que Sysprep ne fait pas que réinitialiser le SID, il agit aussi sur certains composants spécifiques de la machine qui s'ils sont dupliqués peuvent poser des problèmes pour certaines applications comme Windows Server Update Services (WSUS).
NewSID est donc à la retraite et selon les propres mots de Mark Russinovich : "Hélas, NewSID n'a jamais vraiment été utile et il n'y a aucune raison de le regretter."
Avec une exception (qui est détaillée plus loin dans ce post), Mark explique que Windows n'expose jamais son SID en dehors de l'ordinateur sur lequel il est installé; ce qui signifie que cela ne pose pas de problème d'avoir des machines avec le même SID sur le même réseau (en mode workgroup ou en mode domaine). C'est pourquoi il a décidé d'envoyer son outil NewSID à la retraite.
L'exception dont il s'agit concerne les contrôleurs de domaine. Chaque domaine possède un SID unique de domaine (généré automatiquement lors de l'installation du domaine) et chaque SID machine de contrôleur de domaine "matche" avec le SID de domaine. Nous sommes dans le cas où le SID d'une machine est exposé sur le réseau car il est référéncé par d'autres ordinateurs. Donc, cela signifie que les ordinateurs membres d'un domaine ne peuvent pas avoir le même SID de machine que les contrôleurs de domaine et donc ne peuvent pas non plus avoir le même SID que le domaine.
En conclusion, il est possible d'avoir des machines avec le même SID sur un réseau, qu'elles soient en workgroup ou membres d'un domaine à l'exception des contrôleurs de domaine. Mais n'oublions pas que Sysprep ne fait pas que réinitialiser le SID, il agit aussi sur certains composants spécifiques de la machine qui s'ils sont dupliqués peuvent poser des problèmes pour certaines applications comme Windows Server Update Services (WSUS).
NewSID est donc à la retraite et selon les propres mots de Mark Russinovich : "Hélas, NewSID n'a jamais vraiment été utile et il n'y a aucune raison de le regretter."
0 commentaires:
Enregistrer un commentaire