Как изменить sid компьютера в активном каталоге

Обновлено: 25.06.2024

SID (идентификатор безопасности) — это уникальный идентификатор, который назначается пользователям, группам, компьютерам или другим объектам безопасности при их создании в домене Windows или Active Directory. Windows использует SID, но не имя пользователя, для управления доступом к различным ресурсам: общим сетевым папкам, разделам реестра, объектам файловой системы (разрешения NTFS), принтерам и т. д. В этой статье мы покажем вам несколько простых способов найти SID пользователя, группы или компьютера и обратная процедура – ​​как получить имя объекта по известному SID.

Что такое SID (идентификатор безопасности Windows)?

Как мы уже говорили, SID (идентификатор безопасности) позволяет однозначно идентифицировать пользователя, группу или компьютер в определенной области (домен или локальный компьютер). SID — это строка вида:

S-1-5-21 – 489056535-1467421822-2524099697 – 1231

  • 489056535-1467421822-2524099697 — это уникальный идентификатор домена, выдавшего SID (эта часть будет одинаковой для всех объектов в одном домене):
  • 1231 – идентификатор относительной безопасности объекта (RID). Он начинается с 1000 и увеличивается на 1 для каждого нового объекта. Выдается контроллером домена с ролью FSMO RID Master.

SID объектов Active Directory хранятся в базе данных ntds.dit, а SID локальных пользователей и групп — в локальной базе данных Windows Security Account Manager (SAM) в разделе реестра HKEY_LOCAL_MACHINE\SAM\SAM.

В Windows есть так называемые общеизвестные SID. Это SID для встроенных пользователей и групп на любом компьютере с Windows. Например:

  • S-1-5-32-544 – встроенная группа администраторов.
  • S-1-5-32-545 — локальные пользователи
  • S-1-5-32-555 — группа пользователей удаленного рабочего стола, которым разрешен вход через RDP
  • S-1-5-domainID-500 — встроенная учетная запись администратора Windows
  • И т. д.

В Windows можно использовать различные инструменты для преобразования SID -> Имя и имя пользователя -> SID: инструмент whoami, wmic, классы WMI, PowerShell или сторонние утилиты.

Как найти локальный идентификатор безопасности пользователя (SID)?

Чтобы получить SID локальной учетной записи пользователя, вы можете использовать инструмент wmic, который позволяет запрашивать пространство имен WMI компьютера. Чтобы получить SID локального пользователя test_user, вы можете использовать команду WMIC:

учетная запись пользователя wmic, где name='test_user' получить sid

wmic учетная запись пользователя, где имя =

Эта команда может вернуть ошибку, если репозиторий WMI поврежден. Используйте это руководство для восстановления репозитория WMI.

Приведенная выше команда вернула SID указанного локального пользователя. В этом примере — S-1-5-21-1175659216-1321616944-201305354-1005 .

Чтобы получить список SID всех локальных пользователей Windows, выполните:

учетная запись пользователя wmic получить имя, sid

Если вам нужно получить SID текущего пользователя, выполните следующую команду:

учетная запись пользователя wmic, где name='%username%' получить sid

Вы можете запросить WMI непосредственно из PowerShell:

(Get-WmiObject -Class win32_userAccount -Filter "name='test_user' and domain='$env:computername'").SID

В более новых версиях PowerShell Core 7.x необходимо использовать Get-CimInstance вместо командлета Get-WmiObject.

Но еще проще получить SID локального пользователя с помощью встроенного модуля PowerShell для управления локальными пользователями и группами ( Microsoft.PowerShell.LocalAccounts ).

Get-LocalUser -Name 'test_user' | Select-Object Name, SID

powershell: получить идентификатор безопасности локального пользователя (sid)

Таким же образом можно получить SID группы локального компьютера:

Get-LocalGroup -Name tstGroup1 | Select-Object Name, SID

$objUser = New-Object System.Security.Principal.NTAccount("LOCAL_USER_NAME")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID. Значение

Как получить SID пользователя/группы в Active Directory?

Для получения SID текущей учетной записи домена можно использовать следующую команду:

whoami /user

Вы можете найти SID пользователя домена Active Directory с помощью инструмента WMIC. Вы должны указать свое доменное имя в следующей команде:

Чтобы найти SID пользователя домена AD, вы можете использовать командлет Get-ADUser, который является частью модуля Active Directory для Windows PowerShell. Давайте получим SID для учетной записи пользователя домена jabrams:

Get-ADUser -Identity 'jabrams' | выберите SID

Get-ADUser выбирает SID

Вы можете получить SID группы AD с помощью командлета Get-ADGroup:

Get-ADGroup-Фильтр | Выберите SID

get- группа объявлений получает SID по имени группы

$objUser = New-Object System.Security.Principal.NTAccount("corp.woshub.com","jabrams")
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier] )
$strSID.Value

System.Security. Principal.SecurityIdentifier

Та же однострочная команда PowerShell:

(новый объект security.principal.ntaccount «jabrams»).translate([security.principal.securityidentifier])

Проверка SID домена и локального компьютера

Если компьютер Windows присоединен к домену Active Directory, он будет иметь два разных SID. Первый SID — это локальный идентификатор компьютера (Machine SID), а второй — уникальный идентификатор объекта компьютера в AD.

Вы можете получить SID компьютера в домене Active Directory с помощью команды:

Get-ADComputer mun-rds1 -properties sid|выберите имя, sid

get-adcomputer sid

Или просто удалив последние 4 символа (RID) из SID любого локального пользователя:

$user=(Get-LocalUser Administrator).sid
$user -replace ".$"

получить локальный машина (компьютер) sid с psgetsid или powershell

Важно, чтобы каждый компьютер в домене имел уникальный локальный (машинный) SID. Если вы клонируете компьютеры или виртуальные машины или создаете их на основе шаблона, перед присоединением их к домену необходимо запустить утилиту sysprep. Этот инструмент сбрасывает SID локального компьютера. Это убережет вас от распространенных ошибок в доверительных отношениях.

Как преобразовать SID в имя пользователя или группы?

Чтобы узнать имя учетной записи пользователя по SID (обратная процедура), вы можете использовать одну из следующих команд:

учетная запись пользователя wmic, где sid='S-1-3-12-12451234567-1234567890-1234567-1434' получить имя

Вы можете получить имя пользователя домена по SID с помощью модуля RSAT-AD-PowerShell:

Get-ADUser -Identity S-1-3-12-12451234567-1234567890-1234567-1434

Чтобы найти имя группы домена по известному SID, используйте команду:

get- группа объявлений выбирает группу по SID

Вы также можете узнать группу или имя пользователя по SID с помощью встроенных классов PowerShell (без использования дополнительных модулей):

$objSID = New-Object System.Security.Principal.SecurityIdentifier("S S-1-3-12-12451234567-1234567890-1234567-1434")
$objUser = $objSID.Translate([System .Security.Principal.NTAccount])
$objUser.Value

Поиск в Active Directory по SID с помощью PowerShell

Если вы не знаете, к какому типу объекта AD относится определенный SID и какой именно командлет PowerShell нужно использовать для его поиска (Get-AdUser, Get-ADComputer или Get-ADGroup), вы можете использовать универсальный метод поиска объектов в домене Active Directory по SID с помощью командлета Get-ADObject.

$sid = ‘S-1-5-21-2412346651-123456789-123456789-12345678’
Get-ADObject –IncludeDeletedObjects -Filter "objectSid -eq '$sid'" | Select-имя объекта, objectClass

Параметр IncludeDeletedObjects позволяет искать удаленные объекты в корзине Active Directory.

Get-ADObject находит объект Active Directory по SID

В нашем случае объект AD с указанным SID является доменным компьютером (см. атрибут objectClass).

Что касается SID, Microsoft не поддерживает образы, подготовленные с помощью NewSID, мы поддерживаем только образы, подготовленные с помощью SysPrep. Корпорация Майкрософт не тестировала NewSID для всех вариантов клонирования развертывания.

Дополнительную информацию об официальной политике Microsoft см. в следующей статье базы знаний:

Введение

Многие организации используют клонирование образов дисков для массового развертывания Windows. Этот метод включает копирование дисков полностью установленного и настроенного компьютера Windows на диски других компьютеров.Эти другие компьютеры фактически прошли тот же процесс установки и сразу же доступны для использования.

Хотя этот метод экономит часы работы и хлопот по сравнению с другими подходами к развертыванию, у него есть основная проблема, заключающаяся в том, что каждая клонированная система имеет идентичный идентификатор безопасности компьютера (SID). Этот факт ставит под угрозу безопасность в средах рабочих групп, а безопасность съемных носителей также может быть скомпрометирована в сетях с несколькими идентичными идентификаторами безопасности компьютеров.

По требованию сообщества Windows несколько компаний разработали программы, которые могут изменить SID компьютера после клонирования системы. Однако Symantec SID Changer и Symantec Ghost Walker продаются только как часть высококачественного продукта каждой компании. Кроме того, они оба запускаются из командной строки DOS (чейнджер Altiris похож на NewSID).

NewSID – это разработанная нами программа, которая изменяет SID компьютера. Это бесплатная программа Win32, а это означает, что ее можно легко запустить на ранее клонированных системах.

Пожалуйста, прочтите эту статью до конца, прежде чем использовать эту программу.

Клонирование и альтернативные методы развертывания

Один из самых популярных способов массового развертывания Windows (обычно на сотнях компьютеров) в корпоративной среде основан на методе клонирования дисков. Системный администратор устанавливает базовую операционную систему и дополнительное программное обеспечение, используемое в компании, на компьютер-шаблон. После настройки машины для работы в сети компании автоматические средства дублирования дисков или системы (например, Ghost от Symantec, Image Drive от PowerQuest и RapiDeploy) используются для копирования дисков компьютера-шаблона на десятки или сотни компьютеров. Затем этим клонам вносятся окончательные изменения, например присваиваются уникальные имена, после чего они используются сотрудниками компании.

Другой популярный способ развертывания — использование утилиты Microsoft sysdiff (входит в состав Windows Resource Kit). Этот инструмент требует, чтобы системный администратор выполнил полную установку (обычно автоматическую установку по сценарию) на каждом компьютере, а затем sysdiff автоматизировал применение установочных образов дополнительного программного обеспечения.

Поскольку установка пропускается, а копирование секторов диска более эффективно, чем копирование файлов, развертывание на основе клонов может сэкономить десятки часов по сравнению с сопоставимой установкой sysdiff. Кроме того, системному администратору не нужно учиться использовать автоматическую установку или sysdiff или создавать и отлаживать сценарии установки. Уже одно это экономит часы работы.

Проблема дублирования SID

Проблема с клонированием заключается в том, что оно поддерживается корпорацией Майкрософт в очень ограниченном смысле. Microsoft заявила, что клонирование систем поддерживается только в том случае, если оно выполняется до того, как будет достигнута часть графического интерфейса программы установки Windows. Когда установка достигает этой точки, компьютеру присваивается имя и уникальный идентификатор безопасности компьютера. Если система будет клонирована после этого шага, все клонированные машины будут иметь одинаковые идентификаторы SID компьютеров. Обратите внимание, что просто изменение имени компьютера или добавление компьютера в другой домен не меняет SID компьютера. Изменение имени или домена изменяет SID домена только в том случае, если компьютер ранее был связан с доменом.

Чтобы понять проблему, которую может вызвать клонирование, сначала необходимо понять, как отдельным локальным учетным записям на компьютере назначаются SID. Идентификаторы SID локальных учетных записей состоят из SID компьютера и добавленного RID (относительного идентификатора). RID начинается с фиксированного значения и увеличивается на единицу для каждой созданной учетной записи. Это означает, что второй учетной записи на одном компьютере, например, будет присвоен тот же RID, что и второй учетной записи на клоне. В результате оба аккаунта имеют одинаковый SID.

Повторяющиеся SID не являются проблемой в доменной среде, поскольку учетные записи домена имеют SID на основе SID домена. Но, согласно статье Q162001 базы знаний Майкрософт «Не дублировать установленные версии Windows NT», в среде рабочей группы безопасность основана на SID локальной учетной записи. Таким образом, если на двух компьютерах есть пользователи с одинаковым SID, рабочая группа не сможет различать пользователей. Все ресурсы, включая файлы и ключи реестра, к которым есть доступ у одного пользователя, будут доступны и другому.

Еще один случай, когда повторяющиеся SID могут вызвать проблемы, — это съемный носитель, отформатированный в NTFS, и атрибуты безопасности локальной учетной записи применяются к файлам и каталогам. Если такой носитель перемещается на другой компьютер с таким же SID, то локальные учетные записи, которые в противном случае не смогли бы получить доступ к файлам, могли бы получить доступ, если их идентификаторы учетных записей совпадают с идентификаторами в атрибутах безопасности. Это невозможно, если компьютеры имеют разные SID.

Статья Марка под названием "Параметры развертывания NT" была опубликована в июньском номере Журнала Windows NT.В нем более подробно рассматривается проблема дублирования SID и представлена ​​официальная позиция Microsoft в отношении клонирования. Чтобы узнать, есть ли в вашей сети проблема с повторяющимся SID, используйте PsGetSid для отображения SID компьютеров.

НовыйSID

NewSID — это программа, разработанная нами для изменения SID компьютера. Сначала он создает случайный SID для компьютера и приступает к обновлению экземпляров существующего SID компьютера, который он находит в реестре и в дескрипторах безопасности файлов, заменяя вхождения новым SID. Для запуска NewSID требуются права администратора. У него две функции: изменение SID и изменение имени компьютера.

Чтобы использовать параметр автозапуска NewSID, укажите "/a" в командной строке. Вы также можете настроить его на автоматическое изменение имени компьютера, включив новое имя после переключателя «/a». Например:

newsid /a [новое имя]

Запуск NewSID без запроса, изменение имени компьютера на "newname" и перезагрузка компьютера, если все пойдет нормально.

Примечание. Если система, в которой вы хотите запустить NewSID, использует IISAdmin, вы должны остановить службу IISAdmin перед запуском NewSID. Используйте эту команду, чтобы остановить службу IISAdmin: net stop iisadmin /y

Функция синхронизации SID

NewSID, позволяющая указать, что новый SID должен быть получен не случайным образом, а с другого компьютера. Эта функция позволяет переместить резервный контроллер домена (BDC) в новый домен, поскольку отношение BDC к домену определяется тем, что он имеет тот же идентификатор безопасности компьютера, что и другие контроллеры домена (DC). Просто нажмите кнопку «Синхронизировать SID» и введите имя целевого компьютера. У вас должны быть разрешения на изменение параметров безопасности ключей реестра целевого компьютера, что обычно означает, что для использования этой функции вы должны войти в систему как администратор домена.

Обратите внимание, что при запуске NewSID размер реестра будет расти, поэтому убедитесь, что максимальный размер реестра соответствует росту. Мы обнаружили, что этот рост не оказывает заметного влияния на производительность системы. Причина роста реестра заключается в том, что он становится фрагментированным, поскольку NewSID применяет временные параметры безопасности. При удалении настроек реестр не уплотняется.

Важно! Обратите внимание: хотя мы тщательно протестировали NewSID, вы должны использовать его на свой страх и риск. Как и в случае с любым программным обеспечением, которое изменяет параметры файлов и реестра, настоятельно рекомендуется создать полную резервную копию компьютера перед запуском NewSID.

Перемещение BDC

Вот шаги, которые вы должны выполнить, если хотите переместить BDC из одного домена в другой:

  1. Загрузите BDC, который вы хотите переместить, и войдите в систему. Используйте NewSID для синхронизации SID BDC с PDC домена, в который вы хотите переместить BDC.
  2. Перезагрузите систему, для которой вы изменили SID (BDC). Поскольку в домене, с которым теперь связан BDC, уже есть активный PDC, он будет загружаться как BDC в своем новом домене.
  3. BDC будет отображаться как рабочая станция в диспетчере серверов, поэтому используйте кнопку "Добавить в домен", чтобы добавить BDC в новый домен. При добавлении обязательно укажите переключатель BDC.

Как это работает

NewSID начинается с чтения существующего SID компьютера. SID компьютера хранится в разделе SECURITY реестра в разделе SECURITY\SAM\Domains\Account. Этот ключ имеет значение с именем F и значение с именем V. Значение V — это двоичное значение, в конце данных которого встроен SID компьютера. NewSID гарантирует, что этот SID имеет стандартный формат (3 32-битных дочерних органа, которым предшествуют три 32-битных поля прав доступа).

Затем NewSID создает новый случайный SID для компьютера. Генерация NewSID требует больших усилий для создания действительно случайного 96-битного значения, которое заменяет 96-битные значения трех дочерних органов, составляющих SID компьютера.

Замена SID компьютера состоит из трех этапов. На первом этапе кусты SECURITY и SAM Registry сканируются на предмет вхождений SID старого компьютера в значениях ключей, а также имена ключей. Когда SID найден в значении, он заменяется новым SID компьютера, а когда SID найден в имени, ключ и его подразделы копируются в новый подраздел с тем же именем, за исключением того, что новый SID заменяет старый.

Последние два этапа включают обновление дескрипторов безопасности. Ключи реестра и файлы NTFS связаны с безопасностью.Дескрипторы безопасности состоят из записи, которая определяет, какой учетной записи принадлежит ресурс, какая группа является основным владельцем группы, необязательного списка записей, определяющих действия, разрешенные пользователями или группами (известного как список управления доступом на уровне пользователей — DACL), и необязательного список записей, указывающих, какие действия, выполняемые определенными пользователями или группами, будут генерировать записи в системном журнале событий (System Access Control List — SACL). Пользователь или группа идентифицируются в этих дескрипторах безопасности с их SID, и, как я уже говорил ранее, локальные учетные записи пользователей (кроме встроенных учетных записей, таких как администратор, гость и т. д.) имеют свои SID, составленные из компьютера. SID плюс RID.

Первая часть обновления дескриптора безопасности выполняется для всех файлов файловой системы NTFS на компьютере. Каждый дескриптор безопасности сканируется на наличие SID компьютера. Когда NewSID находит его, он заменяет его новым SID компьютера.

Вторая часть обновления дескриптора безопасности выполняется в реестре. Во-первых, NewSID должен убедиться, что он сканирует все кусты, а не только загруженные. Каждая учетная запись пользователя имеет куст реестра, который загружается как HKEY_CURRENT_USER, когда пользователь входит в систему, но остается на диске в каталоге профиля пользователя, когда он не является. NewSID определяет расположение всех пользовательских кустов путем перечисления ключа HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList, который указывает на каталоги, в которых они хранятся. Затем он загружает их в реестр с помощью RegLoadKey в разделе HKEY_LOCAL_MACHINE и сканирует весь реестр, проверяя каждый дескриптор безопасности в поисках старого SID компьютера. Обновления выполняются так же, как и для файлов, и когда это сделано, NewSID выгружает пользовательские кусты, которые он загрузил. В качестве последнего шага NewSID сканирует ключ HKEY_USERS, который содержит куст текущего вошедшего в систему пользователя, а также куст .Default. Это необходимо, потому что куст нельзя загрузить дважды, поэтому куст вошедшего в систему пользователя не будет загружен в HKEY_LOCAL_MACHINE, когда NewSID загружает кусты других пользователей.

Наконец, NewSID должен обновить подразделы ProfileList, чтобы они ссылались на SID новой учетной записи. Этот шаг необходим для того, чтобы Windows NT правильно связывала профили с учетными записями пользователей после того, как SID учетных записей были изменены, чтобы отразить новый SID компьютера.

NewSID гарантирует, что он может получить доступ и изменить каждый файл и ключ реестра в системе, предоставляя себе следующие привилегии: система, резервное копирование, восстановление и переход во владение.

Идентификатор безопасности (SID) – это уникальное значение переменной длины, используемое для идентификации доверенного лица. Каждая учетная запись имеет уникальный SID, выданный органом власти, например контроллером домена Windows, и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в маркере доступа для идентификации пользователя во всех последующих взаимодействиях с системой безопасности Windows. Если SID использовался в качестве уникального идентификатора для пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы.

Как изменить SID?

В РАБОЧЕЙ ГРУППЕ компьютеров под управлением Windows пользователь может неожиданно получить доступ к общим файлам или файлам, хранящимся на съемном носителе. Этого можно избежать, настроив списки управления доступом к уязвимому файлу таким образом, чтобы действующие разрешения определялись SID пользователя. Если этот SID пользователя дублируется на другом компьютере, пользователь второго компьютера с таким же SID может иметь доступ к файлам, защищенным пользователем первого компьютера. Это часто может происходить, когда SID машины дублируются клоном диска, что характерно для пиратских копий. Идентификаторы безопасности пользователей создаются на основе идентификатора безопасности компьютера и последовательного относительного идентификатора.

Для предотвращения дублирования SID поддерживаются только операционные системы Windows, использующие SysPrep, встроенный инструмент Windows, который создает новые SID. Ниже приведены краткие инструкции по безопасному изменению SID.

Проверьте текущий SID, выполнив следующую команду в Powershell. Чтобы сравнить изменение.

>кто/все


Откройте проводник Windows > перейдите в папку C:\Windows\System32\Sysprep, запустите sysprep.exe


Установите флажок "Обобщить", затем нажмите "ОК", чтобы внести изменения.


Sysprep работает. Для сброса настроек потребуется перезагрузка компьютера.


Перезагрузите компьютер, повторите настройки, как рекомендует Windows.




После этого попробуйте запустить команду whoami /all для перепроверки изменений. SID будет изменен на другой.

Mikrotik, виртуализация, Linux, серверы, сети и многое другое

Самый быстрый способ создать большую виртуальную среду (тестовую или производственную) — установить одну виртуальную машину, а затем клонировать ее. Этот процесс не одинаков для каждой среды. Кроме того, это зависит от механизма процесса клонирования ВМ.

Кроме того, каждый компьютер в домене AD имеет собственную идентификацию. Это отождествление не является его именем. Имя компьютера нам пригодится. Более того, этот идентификатор должен быть уникальным.

На уровне компьютера каждый компьютер идентифицируется уникальным значением; именованный идентификатор безопасности или SID. SID рассчитывается в процессе установки каждой машины Windows. Независимо от того, является ли компьютер частью рабочей группы (или это просто отдельный компьютер), значение SID не имеет решающего значения.

Мы только что обнаружили потенциальную проблему. Всякий раз, когда нам нужно построить домен AD, нам нужны машины с разными SID. Более того, когда мы создаем нашу виртуальную лабораторию в Oracle VirtualBox (VBox), клоны всегда сохраняют старый SID исходной машины.

Я обнаружил эту проблему, готовя статью об удаленном администрировании и объединении сетевых карт. Даже лучше; Я нашел решение для этой ситуации. Так что задержите дыхание и продолжайте читать.

Присоединение ВМ к домену

Для моего сценария мне нужно как минимум два сервера. Это не проблема с виртуальными машинами VBox. Я установил одну виртуальную машину под Windows Server 2012 R2. Мне просто нужно сделать два связанных клона и сэкономить драгоценное место на диске. Размер моего SSD-накопителя ограничен.

Я создал две виртуальные машины. Первым стал сервер контроллера домена AD. Когда я попытался добавить вторую машину в домен, я столкнулся с ошибкой. SID домена (т. е. контроллера домена) совпадает с SID этой ВМ.

01 - добавить новую ВМ в домен

Если вы проверите это сообщение, то увидите, что решение прямо перед вами. Нам нужно запустить инструмент с именем SysPrep. Инструмент SysPrep (или подготовка системы) должен быть знаком каждому опытному администратору Windows.

Да, с помощью инструмента SysPrep мы можем удалить SID и все остальные настройки, оставив машину в неинициализированном состоянии. Машина будет инициализирована при первом запуске. Этот механизм позволяет администраторам легко клонировать как физические, так и виртуальные машины.

Не забудьте проверить правый нижний угол этого снимка экрана (выше). У нашей ВМ осталось 175 дней до истечения срока действия ознакомительной лицензии.

Инструмент SysPrep

Инструмент SysPrep находится по пути %systemroot%\System32\SysPrep. В большинстве случаев это эквивалентно пути C:\Windows\System32\sysprep. У вас есть этот инструмент на рабочих станциях Windows 7 и более поздних версиях, в версиях Widows Server с графическим интерфейсом, а также в базовой версии.

02 — инструмент SysPrep

Найдите инструмент SysPrep и запустите его от имени администратора. Через некоторое время на экране появится окно приложения. В базовой версии просто введите команду. В остальном то же самое.

clip_image005

Оставьте в раскрывающемся меню Действие по очистке системы пункт «Перейти к стандартному использованию системы (OOBE)». Мы хотим очистить все персональные настройки машины.

Однако мы хотим вернуть эту машину в неинициализированное состояние, поскольку мы только что ее установили. Поэтому установите флажок Обобщить.

Третий вариант зависит от ваших предпочтений. Если вам нужно только очистить состояние на этой машине, вам, вероятно, потребуется перезагрузить ее и продолжить работу. Однако, если вы хотите сбросить основную машину, вам нужно будет выключить ее после завершения этого процесса.

В этом сценарии мне нужно было только повторно инициализировать эту виртуальную машину, и я нажал кнопку [ OK ]. Запустится инструмент SysPrep. Остальной процесс автоматизирован, и отменить его нельзя.

clip_image006

Первый этап — это этап очистки, на котором будут удалены настройки. На втором этапе будет выполнена генерализация (повторная инициализация) машины.

clip_image007

Через некоторое время наша машина перезагрузится.

Возрождение нашего сервера

Моя виртуальная машина для второго сервера перезагрузилась и запустилась. Первый экран является обычным для последовательности загрузки Windows Server 2012 R2; затем последовал приятный сюрприз.

06 — Проверка устройств после перезагрузки

Windows Server обнаружил, что его база данных устройств пуста, поэтому он начал поиск; теперь системе необходимо обнаружить все существующее оборудование.

Одним существенным преимуществом здесь является то, что у нас может быть больший пул драйверов устройств, особенно для интеграции с VBox. SysPrep удалит персонализацию и настройки, но не файлы на диске.

Когда сервер завершит инициализацию (во время которой нужно снова указать пароль администратора), мы можем приступить к присоединению к домену.

Сервер находится в домене

Прежде чем мы продолжим, еще раз проверьте правый нижний угол. У нас осталось 180 дней. Это доказывает, что наш сервер полностью переинициализирован, как будто он только что был установлен. Это также означает, что любое ранее установленное приложение необходимо переустановить.

Я снова изменил имя сервера на SERVER02 и присоединил его к домену. Затем я перешел к тестовому сценарию.

Как видите, этот небольшой, но мощный инструмент может быть очень полезным. Вы должны выполнить обобщение шаблона виртуальной машины после установки. Тогда каждая новая виртуальная машина, основанная на этом шаблоне, будет отличаться от любых других. Хотя вам потребуется еще несколько минут для настройки каждой новой ВМ, позже это короткое время очень пригодится.

Читайте также: