Изменить sid windows 10

Обновлено: 21.11.2024

Операционная система Microsoft использует идентификатор безопасности (SID) для идентификации компьютеров и пользователей. Экземпляры CVM, созданные с одним и тем же образом, будут иметь один и тот же SID и могут возникнуть проблемы со входом в домен. Если вам нужно создать среду домена Windows, вам потребуется изменить SID.
В этом документе в качестве примера используется CVM с операционной системой Windows Server 2012, чтобы описать, как изменить SID с помощью инструментов sysprep и sidchg система.

Примечания

  • Это применимо только к Windows Server 2008 R2, Windows Server 2012 и Windows Server 2016.
  • Чтобы изменить SID в пакетном режиме, вы можете создать собственный образ (выберите "запустить sysprep для создания образа").
  • Изменение SID может привести к потере данных или повреждению системы. Мы рекомендуем заранее создать снимок или образ системного диска.

Маршруты

Использование sysprep для изменения SID

  • После использования sysprep для изменения SID вам необходимо вручную сбросить некоторые системные параметры, включая информацию о конфигурации IP.
  • Когда вы используете sysprep для изменения SID, C:\Users\ Administrator будет сброшен, а некоторые данные на системном диске будут стерты. Сделайте резервную копию данных.

В интерфейсе операционной системы щелкните правой кнопкой мыши > Выполнить, введите cmd и нажмите Enter, чтобы открыть командную строку администратора.

В командной строке администратора выполните следующую команду, чтобы сохранить текущую конфигурацию сети.

В командной строке администратора выполните следующую команду, чтобы открыть инструмент sysprep.

В появившемся окне «Инструмент подготовки системы 3.14» выполните следующую настройку.

  • Установите для действия по очистке системы значение "Вход в систему при первом включении" (OOBE) и установите флажок "Общие".
  • Установите параметры завершения работы на перезагрузку.
  1. Нажмите "ОК", и система автоматически перезагрузится.
  2. После завершения запуска следуйте указаниям мастера, чтобы завершить настройку (выбрать язык, сбросить пароль и т. д.).
  3. В интерфейсе операционной системы щелкните правой кнопкой мыши >Выполнить, введите cmd и нажмите Enter, чтобы открыть командную строку администратора.
  4. Выполните следующую команду, чтобы проверить, был ли изменен SID.

    5. Если возвращается сообщение, похожее на следующее, SID был изменен.

    10. Сбросьте информацию ENI (например, IP-адрес, адрес шлюза, DNS и т. д.) на основе информации о конфигурации сети, сохраненной на шаге 3.

    Использование sidchg для изменения SID

    Если возвращается сообщение, похожее на следующее, SID был изменен.

    Идентификатор безопасности (SID) – это уникальное значение переменной длины, используемое для идентификации доверенного лица. Каждая учетная запись имеет уникальный SID, выданный органом власти, например контроллером домена Windows, и хранящийся в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система извлекает SID для этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в маркере доступа для идентификации пользователя во всех последующих взаимодействиях с системой безопасности Windows. Если SID использовался в качестве уникального идентификатора для пользователя или группы, его нельзя использовать повторно для идентификации другого пользователя или группы.

    Как изменить SID?

    В РАБОЧЕЙ ГРУППЕ компьютеров под управлением Windows пользователь может неожиданно получить доступ к общим файлам или файлам, хранящимся на съемном носителе. Этого можно избежать, настроив списки управления доступом к уязвимому файлу таким образом, чтобы действующие разрешения определялись SID пользователя. Если этот SID пользователя дублируется на другом компьютере, пользователь второго компьютера с таким же SID может иметь доступ к файлам, защищенным пользователем первого компьютера. Это часто может происходить, когда SID машины дублируются клоном диска, что характерно для пиратских копий. Идентификаторы безопасности пользователей создаются на основе идентификатора безопасности компьютера и последовательного относительного идентификатора.

    Для предотвращения дублирования SID поддерживаются только операционные системы Windows, использующие SysPrep, встроенный инструмент Windows, который создает новые SID. Ниже приведены краткие инструкции по безопасному изменению SID.

    Проверьте текущий SID, выполнив следующую команду в Powershell. Чтобы сравнить изменения.

    >кто/все

    Откройте проводник Windows > перейдите в папку C:\Windows\System32\Sysprep, запустите sysprep.exe

    Установите флажок "Обобщить", затем нажмите "ОК", чтобы внести изменения.

    Sysprep работает. Для сброса настроек потребуется перезагрузка компьютера.

    Перезагрузите компьютер, повторите настройки, как рекомендует Windows.

    После этого попробуйте запустить команду whoami /all для перепроверки изменений. SID будет изменен на другой.

    Наилучшие варианты использования:
    SIDCHG
    SIDCHG /COMPNAME:compname
    SIDCHG /COMPNAME:compname /F /R /OD

    Установите имя компьютера после адреса mac:
    SIDCHG /COMPNAME=* /CNMF=map.txt, где в map.txt есть строки macaddress=compname

    Пока изменение SID выполняется в фоновом режиме, на экране входа в систему появляется следующее сообщение, показывающее фактическое состояние процесса изменения SID:

    Очень важно не входить в систему и не выключать компьютер, пока выполняется изменение SID в фоновом режиме! Это необходимо для сохранения современных пользовательских интерфейсов и приложений.

    После завершения изменения SID система автоматически выключится или перезагрузится. Не делайте этого сами, не авторизируйтесь и не мешайте. Лучше вообще не трогать ПК до автоматического выключения/перезагрузки!

    В качестве альтернативы можно применить исключение процесса (см. ниже). Параметр командной строки SIDCHG /FF позволяет выполнять изменение SID при включенном антивирусе в реальном времени, но это не рекомендуется. < TABLE WIDTH=590 CELLPADDING=0 CELLSPACING=10> О SIDCHGL / SIDCHGL64

    < TD>SIDCHGL — альтернатива SIDCHG, если отключение антивируса нежелательно.
    Для SIDCHGL(64) только рекомендуется, но не требуется, чтобы антивирусная защита в режиме реального времени Microsoft Defender Antivirus или другая антивирусная программа была отключена перед изменением SID. SIDCHGL работает так же, как SIDCHG, с тем отличием, что он пропускает изменение SID в настройках браузера. Если параметры браузера, такие как домашняя страница или закладки, не синхронизированы с облаком, они будут потеряны и сброшены до значений по умолчанию после изменения SID с помощью SIDCHGL, поскольку сохраненные параметры браузера привязаны к предыдущему SID и больше не действительны для нового SID. Изменение SID в настройках браузера и, следовательно, внесение изменений в эти места приводит к тому, что антивирусное программное обеспечение останавливает процесс изменения SID, оставляя систему с незавершенным изменением SID. SIDCHGL пропускает изменение SID в настройках браузера и, следовательно, с меньшей вероятностью будет остановлен антивирусным программным обеспечением. Тем не менее, рекомендуется отключать антивирусное программное обеспечение, работающее в режиме реального времени, даже при наличии SIDCHGL. SID необходимо изменить во многих местах в системе, и остается вероятность того, что эти изменения будут восприняты антивирусным программным обеспечением как опасное действие и что оно прервет или заблокирует текущее изменение SID.

    SIDCHGL и SIDCHGL64 имеют одинаковые параметры команд и работают с одним и тем же лицензионным ключом. Лицензия и ключ для SIDCHG действительны также для SIDCHGL.

    Для достижения наилучших результатов рекомендуется использовать SIDCHG(64) с отключенным антивирусом в режиме реального времени во время изменения SID, а не SIDCHGL.

    Как еще больше улучшить прием антивирусом
    Чтобы SIDCHG работал в фоновом режиме, он обычно копирует себя в C:\Windows\Temp\SIDCHG64_.exe или C:\Windows\Temp\SIDCHGL64_.exe для SIDCHGL. Эта операция копирования распознается и потенциально не нравится антивирусному программному обеспечению. Чтобы избежать операции копирования и изменить SID в фоновом режиме из вызывающего .EXE, необходимо выполнить следующие условия: 1. SIDCHG(L)(64).EXE необходимо запустить из одного из следующих каталогов или подкаталогов. : C:\Windows, C:\Program Files, C:\Program Files (x86).
    2. Атрибут безопасности, указывающий на то, что этот файл получен с другого компьютера, должен быть разблокирован в свойствах загруженного файла SIDCHG(64).EXE.
    Использование исключения процесса вместо отключения реального времени Антивирус
    В качестве альтернативы отключению антивирусной программы Microsoft Defender можно исключить процесс, в котором изменяется SID запускается из антивируса. Имя процесса обычно C:\Windows\Temp\SIDCHG64_.exe или C:\Windows\Temp\SIDCHGL64_.exe для SIDCHGL, но также может быть .EXE, из которого вызывается SIDCHG (см. раздел выше).
    Обратите внимание, если изменение SID занимает много времени
    Прежде чем действовать, дайте ему поработать не менее 15 минут. Затем проверьте, изменилось ли сообщение о ходе выполнения с номером выполнения, показанным на изображении выше. Нажмите кнопку OK на экране сообщений о ходе выполнения, а затем нажмите на экран входа в систему, чтобы снова отобразить сообщение о ходе выполнения с новым прогрессом. Если сообщение о ходе выполнения и число выполнения ОБА остаются неизменными в течение 5 минут, можно предположить, что программа больше не работает и завершилась аварийно. Если только сообщение о ходе выполнения остается неизменным, но изменяется номер хода выполнения, изменение SID все еще активно обрабатывается.
    Обратите внимание, если изменение SID было прервано и сообщение об изменении SID остается на экране входа в систему
    Если работа SIDCHG была прервана, используйте SIDCHG /CLEARMSG, чтобы удалить сообщение об изменении SID при входе в систему.

    SIDCHG распознает прерванное изменение SID и продолжит прерванное изменение SID при повторном вызове. Существуют также параметры /REPEAT или /REVERT для повторения или отмены (отмены) изменения SID.
    Повторение или отмену прерванного изменения SID лучше всего выполнять с помощью локальной учетной записи с правами администратора, которая создается заранее (перед выполнением первоначального изменения SID) и используется специально для этой цели (учетная запись, в которой не больно, если он повредится). После прерванного изменения SID, которое должно быть продолжено или отменено, не входите в систему с активно используемой учетной записью пользователя. Не прерывайте откат и не повторяйте изменение SID.

    Пожалуйста, будьте осторожны, чтобы не прерывать SIDCHG, пока он выполняет изменение SID, прежде чем ждать долгое время и убедиться, что он работает неправильно.

    Обычно в большинстве современных сред самый быстрый способ создать большую виртуальную среду (тестовую или производственную) — это установить или подготовить одну виртуальную машину, а затем клонировать ее. Этот процесс не одинаков для каждой среды. Кроме того, это зависит от механизма процесса клонирования ВМ и используемого гипервизора.

    Кроме того, каждый компьютер в домене Active Directory (Microsoft) имеет собственную идентификационную строку. Это отождествление не является его именем. Имя компьютера нам пригодится. Причем этот идентификатор должен быть уникальным в домене.

    На уровне компьютера каждый компьютер идентифицируется уникальным значением; с именем Security ID или SID. SID рассчитывается в процессе установки каждой машины Windows. Независимо от того, является ли компьютер частью рабочей группы (или это просто отдельный компьютер), значение SID не имеет решающего значения.

    Всякий раз, когда нам нужно построить домен Active Directory, нам нужны машины с разными SID. Более того, когда мы создаем нашу виртуальную лабораторию в Oracle VirtualBox (VBox) или даже в VMware, клоны всегда сохранят старый SID исходной машины.

    Добавление ВМ в домен

    Для этого сценария нам нужно как минимум два сервера. Это не проблема конкретно с виртуальными машинами VirtualBox. Подготавливаем две ВМ. Первым стал сервер контроллера домена AD. Когда мы пытаемся добавить вторую машину в домен, мы можем столкнуться с ошибкой. SID домена (т. е. контроллера домена) совпадает с SID этой ВМ.

    Если мы проверим это сообщение, то увидим, что решение прямо перед нами. Нам нужно запустить инструмент с именем SysPrep. Инструмент SysPrep (или подготовка системы) должен быть знаком каждому опытному администратору Windows.

    Да, с помощью инструмента SysPrep мы можем удалить SID и все остальные настройки, оставив машину в неинициализированном состоянии. Машина будет инициализирована при первом запуске. Этот механизм позволяет администраторам легко клонировать как физические, так и виртуальные машины.

    Инструмент SysPrep

    Инструмент SysPrep находится по пути %systemroot%\System32\SysPrep. В большинстве случаев это эквивалентно пути C:\Windows\System32\sysprep (как правило, во всех случаях). У вас есть этот инструмент на рабочих станциях Windows 7 и более поздних версиях, версиях Windows Server с графическим интерфейсом, а также в базовой версии.

    Найдите инструмент SysPrep и запустите его от имени администратора. Через некоторое время на экране появится окно приложения. В базовой версии просто введите команду. В остальном то же самое.

    Оставьте в раскрывающемся меню «Действие по очистке системы» вариант «Перейти к стандартному использованию системы (OOBE)». Мы хотим очистить все персональные настройки машины.

    Однако мы хотим вернуть эту машину в неинициализированное состояние, поскольку мы только что ее установили. Поэтому установите флажок Обобщить.

    Третий вариант зависит от ваших предпочтений. Если вам нужно только очистить состояние на этой машине, вам, вероятно, потребуется перезагрузить ее и продолжить работу. Однако, если вы хотите сбросить основную машину, вам нужно будет выключить ее после завершения этого процесса.

    В этом сценарии нам нужно только повторно инициализировать эту виртуальную машину и нажать кнопку [ OK ]. Запустится инструмент SysPrep. Остальной процесс автоматизирован, и отменить его нельзя.

    Первый этап — это этап очистки, на котором будут удалены настройки. На втором этапе будет выполнена генерализация (повторная инициализация) машины.

    Через некоторое время наша машина перезагрузится.

    Возрождение

    Наша виртуальная машина для второго сервера перезагрузилась и запустилась. Первый экран является обычным для последовательности загрузки Windows Server 2012 R2; затем последовал приятный сюрприз.

    Windows Server обнаружил, что его база данных устройств пуста, поэтому он начал поиск; теперь системе необходимо обнаружить все существующее оборудование.

    Одним существенным преимуществом здесь является то, что у нас может быть больший пул драйверов устройств, особенно для интеграции с VirtualBox. SysPrep удалит персонализацию и настройки, но не файлы на диске.

    Когда сервер завершит инициализацию (во время которой нужно снова указать пароль администратора), мы можем приступить к присоединению к домену.

    Сервер находится в домене

    Теперь наш сервер полностью повторно инициализирован, как будто он только что был установлен. Это также означает, что любое ранее установленное приложение необходимо переустановить.

    Мы снова меняем имя сервера на SERVER02 и присоединяем его к домену. Затем переходим к тестовому сценарию.

    Как видите, этот небольшой, но мощный инструмент может быть очень полезным. Вы должны выполнить обобщение шаблона виртуальной машины после установки. Тогда каждая новая виртуальная машина на основе этого шаблона будет отличаться от любых других. Хотя вам потребуется еще несколько минут для настройки каждой новой ВМ, позже это короткое время очень пригодится.

    Получить SID компьютера в Active Directory

    В средах Active Directory с помощью Powershell очень просто получить полный список SID объектов «Компьютер». Вот рабочий пример (необходимо запустить или непосредственно на контроллере домена, с правами администратора или с помощью модуля Active Directory Powershell):

    Получить SID компьютера (VBScript)

    Чтобы получить SID компьютера (Machine SID) с помощью кода VBScript, мы можем использовать интерфейсы WMI для запроса этой информации непосредственно из системы:

    Обратите внимание, что нам нужно указать локальную учетную запись, чтобы получить также SID компьютера. Помните, что SID локального компьютера отличается в зависимости от полномочия, в котором мы получаем эту информацию, домена и/или рабочей станции. Доменные системы имеют два разных идентификатора SID компьютера.

    Получить SID компьютера (VBScript)

    Ниже приведен аналогичный подход в Powershell для получения SID с локального компьютера:

    PSGetSID (SysInternals)

    PsGetsid (инструмент командной строки от Марка Руссиновича) позволяет преобразовывать SID в их отображаемое имя и наоборот. Он работает со встроенными учетными записями, учетными записями домена и локальными учетными записями.

    Читайте также: