SID详解-帮你理解为何在域中不宜使用.doc

SID详解-帮你理解为何在域中不宜使用/html/72/t-9972.html之前在坛子里有朋友问为什么域中不宜使用GHOST，今天特转来此帖，这个帖子很详细的讲解了SID，相信看完以后很多朋友就明白原因了 SID详解前言 SID也就是安全标识符（Security Identifiers），是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时，将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户，再删除帐户，然后使用相同的用户名创建另一个帐户，则新帐户将不具有授权给前一个帐户的权力或权限，原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。 SID的作用 用户通过验证后，登陆进程会给用户一个访问令牌，该令牌相当于用户访问系统资源的票证，当用户试图访问系统资源时，将访问令牌提供给 Windows NT，然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象，Windows NT将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的，所以改变用户的权限需要注销后重新登陆，重新获取访问令牌。 SID号码的组成 如果存在两个同样SID的用户，这两个帐户将被鉴别为同一个帐户，原理上如果帐户无限制增加的时候，会产生同样的SID，在通常的情况下SID是唯一的，他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。 一个完整的SID包括： 用户和组的安全描述 48-bit的ID authority 修订版本 可变的验证值Variable sub-authority values 例：S-1-5-21-310440588-250036847-580389505-500 我们来先分析这个重要的SID。第一项S表示该字符串是SID；第二项是SID的版本号，对于2000来说，这个就是1；然后是标志符的颁发机构（identifier authority），对于2000内的帐户，颁发机构就是NT，值是5。然后表示一系列的子颁发机构，前面几项是标志域的，最后一个标志着域内的帐户和组。 SID的获得 开始运行regedt32HKEY_LOCAL_MACHINESAMSAMDomainsBuiltinAliasesMembers，找到本地的域的代码，展开后，得到的就是本地帐号的所有SID列表。 其中很多值都是固定的，比如第一个000001F4（16进制），换算成十进制是500，说明是系统建立的内置管理员帐号administrator，000001F5换算成10进制是501，也就是GUEST帐号了，详细的参照后面的列表。 这一项默认是system可以完全控制，这也就是为什么要获得这个需要一个System的Cmd的Shell的原因了，当然如果权限足够的话你可以把你要添加的帐号添加进去。 或者使用Support Tools的Reg工具： reg query HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList 还有一种方法可以获得SID和用户名称的对应关系： 1. Regedt32: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion ProfileList 2. 这个时候可以在左侧的窗口看到SID的值，可以在右侧的窗口中ProfileImagePath看到不同的SID关联的用户名， 比如%SystemDrive%Documents and SettingsAdministrator.momo这个对应的就是本地机器的管理员SID %SystemDrive%Documents and SettingsAdministrator.domain这个就是对应域的管理员的帐户 另外微软的ResourceKit里面也提供了工具getsid，sysinternals的工具包里面也有Psgetsid，其实感觉原理都是读取注册表的值罢了，就是省了一些事情。 SID重复问题的产生 安装NT2000系统的时候，产生了一个唯一的SID，但是当你使用类似Ghost的软件克隆机器的时候，就会产生不同的机器使用一个SID的问题。产生了很严重的安全问题。 同样，如果是重复的SID对于对等网来说也会产生很多安全方面的问题。在对等网中帐号的基础是SID加上一个相关的标识符（RID），如果所有的工作站都拥有一样的SID，每个工作站上产生的第一个帐号都是一样的，这样就对用户本身的文件夹和文件的安全产生了隐患。 这个时候某个人在自己的NTFS分区建立了共享，并且设置了自己可以访问，但是实际上另外一台机器的SID号码和这个一样的用户此时也是可以访问这个共享的。 SID重复问题的解决 下面的几个试验带有高危险性，慎用！ 微软在ResourceKit里面提供了一个工具，叫做SYSPREP,这个可以用在克隆一台工作站以前产生一个新的SID号码。 下图是他的参数这个工具在DC上是不能运行这个命令的，否则会提示但是这个工具并不是把所有的帐户完全的产生新的SID，而是针对两个主要的帐户Administrator和Guest，其他的帐号仍然使用原有的SID。 下面做一个试验，先获得目前帐号的SID： S-1-5-21-2000478354-688789844-839522115 然后运行Sysprep，出现提示窗口： 确定以后需要重启，然后安装程序需要重新设置计算机名称、管理员口令等，但是登陆的时候还是需要输入原帐号的口令。 进入2000以后，再次查询SID，得到： 。JS-1-5-21-759461550-145307086-515799519，发现SID号已经得到了改变，查询注册表，发现注册表已经全部修改了，当然全部修改了 另外sysinternals公司也提供了类似的工具NTSID，这个到后来才发现是针对NT4的产品，界面如下： 他可不会提示什么再DC上不能用，接受了就开始，结果导致我的一台DC崩溃，重启后提示“安全账号管理器初始化失败，提供给识别代号颁发机构的值为无效值，错误状态0XC0000084，请按确定，重启到目录服务还原模式.”，即使切换到目录服务还原模式也再也进不去了！ 另外在Ghost的新版企业版本中的控制台已经加入了修改SID的功能，自己还没有尝试，有兴趣的朋友可以自己试验一下，不过从原理上应该都是一样的。J下面是SID末尾RID值的列表，括号内为16进制： Built-In Users DOMAINNAMEADMINISTRATOR S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4) DOMAINNAMEGUEST S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5) Built-In Global Groups DOMAINNAMEDOMAIN ADMINS S-1-5-21-917267712-1342860078-1792151419-512 (=0x200) DOMAINNAMEDOMAIN USERS S-1-5-21-917267712-1342860078-1792151419-513 (=0x201) DOMAINNAMEDOMAIN GUESTS S-1-5-21-917267712-1342860078-1792151419-514 (=0x202) Built-In Local Groups BUILTINADMINISTRATORS S-1-5-32-544 (=0x220) BUILTINUSERS S-1-5-32-545 (=0x221) BUILTINGUESTS S-1-5-32-546 (=0x222) BUILTINACCOUNT OPERATORS S-1-5-32-548 (=0x224) BUILTINSERVER OPERATORS S-1-5-32-549 (=0x225) BUILTINPRINT OPERATORS S-1-5-32-550 (=0x226) BUILTINBACKUP OPERATORS S-1-5-32-551 (=0x227) BUILTINREPLICATOR S-1-5-32-552 (=0x228) Special Groups CREATOR OWNER S-1-3-0 EVERYONE S-1-1-0 NT AUTHORITYNETWORK S-1-5-2 NT AUTHORITYINTERACTIVE S-1-5-4 NT AUTHORITYSYSTEM S-1-5-18 NT AUTHORITYauthenticated users S-1-5-11 *.(over)那么如何找出用户帐号对应的SID呢？下面笔者就介绍2种方法。方法一：使用SID工具点击“开始-运行”，在运行对话框中输入“cmd”命令，回车后弹出命令提示符窗口，切换到SID工具所在的目录下，接着输入“sid local”命令，就列出本地系统所有的用户帐号及其帐号对应的SID，这样用户就能很方便的查找到所需要的SID，如本地系统的rtj帐号，从命令执行结果可以看出，它对应的SID项目为“S-1-5-21-436374069-813497703-682003330-1004”，其中最后一段数字“1004”转换成16进制就为“3ec”，与注册表中的该帐号的标识信息对应。小提示：用户帐号的安全标识符(SID) 永远都是唯一的，它是由计算机名、当前时间以及当前用户态线程的CPU耗费时间总和三个参数决定的。格式为：S-R-X-Y(1)-Y(2)-Y(N)，其中S表示该字符串是SID，R是SID的版本号， X是标志符的颁发机构 （identifier authority），Y表示一系列的子颁发机构，前面几项是标志域的，最后一个Y(N)标志着域内的用户帐户和组。 bitsCN_com 方法二：使用whoami命令whoami是Windows2000资源工具箱中的一个命令，它同样可以用来查找用户的SID。在命令提示符窗口中输入“WHOAMI /USER /GROUPS ”命令，接着就显示出本地系统所有的用户帐号及其帐号对应的SID，这样就能查找到所需要的帐号SID了。小提示：用户帐号的sid信息存放注册表中，具体位置为“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers”，注意：要赋予用户有访问“SAM”项的权限，才能进行浏览。下面的十六进制项就是用来标识不同的用户帐号，以笔者机器为例，用户Administrator的为“000001F4”，guest帐号为“000001F5”，其它的每一个十六进制项都对应一个用户帐号，此外，在Names项下保存着用户帐号名。当添加一个新用户时，系统会在“HKEY_LOCAL_MACHINE SAMSAMDomainsAccountUsers”下添加一个新的sid项来标记这个用户帐号，同时还会在“HKEY_LOCAL_MACHINE SAMSAMDomainsAccountUsersNames”下创建一个用户名的项，而该项的类型就为这个新的sidGHOST还原加不到域中工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中的计算机，还是要到被访问计算机上来实现用户验证的。而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法使将计算机脱离域并重新加入，KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下，请尽量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联系你的系统管理员，你可以需要管理员重新设置计算机安全票据，否则你将不能登录域环境ghost之前要用SYSPREP或NEWSID，记住这样做好后不要重启再进入系统，而是直接用GHOST做备份，做好的这个镜像就可以在别的机子上用。一个新硬盘是否可以用Ghost直接将老硬盘的系统克隆过来呢?可以。在Windows XP的安装光盘里有个叫做Sysprep的工具，它是一种专为系统管理员以及因其他需要在多台计算机上部署Windows XP操作系统的客户而设计的实用工具。而且Sysprep会在每台目标计算机首次重新启动时为它分配一个惟一的安全标志码。实战开始，放入Windows XP的安装光盘，打开SUPPORTTOOLS文件夹，找到DEPLOY.CAB这个文件，复制后解压到老硬盘中，解压后，你会得到10个文件，运行其中的sysprep.exe，程序将会弹出警告窗口，提示你安装这个程序会修改系统的一些参数，点击“确定”，启动这个系统备份工具。然后勾选下方的“MiniSetup”及“PnP”两个选项，然后点击“重新安装”按钮。此时电脑便会出现“您确定要以您目前的设定值继续”对话框，再次“确定”。 Windows XP中Sysprep使用大全用Sysprep+Ghost快速部署操作系统Sysprep制作快速安装系统映像包这时就可以利用Ghost把老硬盘上的系统进行备份及还原到新硬盘上了。还原后，新硬盘的Windows XP系统第一次开机时，会重新检测电脑硬件一次，此后便会建立一个新的安全识别码了，而至此你便可以正常运行Windows XP了。小提示：只能在位于C盘的Windows上安装运行Sysprep。（Kami） NewSID 4.10 版重要信息：关于 SID，Microsoft 不支持使用 NewSID 准备的映像，我们只支持使用 SysPrep 准备的映像。Microsoft 尚未针对所有部署克隆选项测试 NewSID。有关 Microsoft 的官方策略的详细信息，请参阅下面的知识库文章： 有关 Windows XP 安装的磁盘复制的 Microsoft 策略返回页首简介许多组织使用磁盘映像克隆技术来大规模部署 Windows。此方法要求将完全安装和配置的 Windows 计算机的磁盘复制到其他计算机的磁盘驱动器。其他这些计算机似乎已经有效地完成了相同的安装过程，并且可以立即使用。虽然此方法节省了数小时的工作量并且比其他部署方法有效，但是它存在一个严重问题，即每个克隆的系统都具有一个完全相同的计算机安全标识符 (SID)。这一因素会损害工作组环境的安全性，并且在具有多个相同计算机 SID 的网络中，还可能损害可移动媒体安全性。来自 Windows 社区的要求已经促使多家公司开发可以在克隆系统后更改计算机的 SID 的程序。但是，Symantec 的 SID Changer 和 Symantec 的 Ghost Walker 仅作为每家公司的高端产品出售。而且，它们都从 DOS 命令提示窗口中运行（Altiris 的更改器类似于 NewSID）。NewSID 是我们开发的可更改计算机的 SID 的程序。它是一个免费的 Win32 程序，这意味着它可以容易地在以前克隆的系统上运行。 NewSID 可在 Windows NT 4、Windows 2000、Windows XP 和 Windows .NET Server 上运行。使用该程序之前，请先完整阅读此文章。版本信息： 版本 4.0 引入了对 Windows XP 和 .NET Server 的支持、向导样式的界面（可以通过该界面指定您要应用的 SID）、注册表压缩以及用于重命名计算机的选项（该选项可用来更改 NetBIOS 名称和 DNS 名称）。 版 本 3.02 更正了以下程序缺陷：在将具有旧 SID 的项重命名为新 SID 时，NewSid 无法正确复制具有无效值类型的默认值。实际上，NT 某些时候在 SAM 中使用了这些无效值。此程序缺陷的症状是：当授权用户更新帐户信息时，错误消息报告访问权限被拒绝。 版本 3.01 为由 Microsoft Transaction Server 创建的无法访问的注册表项添加了解决方法。不使用该解决方法， NewSID 会过早退出。 版本 3.0 引入了 SID 同步功能，该功能指示 NewSID 从另一台计算机获取要应用的 SID。 版本 2.0 具有自动模式选项，而且还使您可以更改计算机名称。 版本 1.2 修复了在版本 1.1 中引入的未更新某些文件系统安全描述符的程序缺陷。 版本 1.1 更正了仅影响某些安装的相对次要的程序缺陷。对它也进行了更新，以便更改与文件和打印机共享的权限设置相关联的 SID。返回页首克隆和备用部署方法在企业环境中执行大规模 Windows 部署（通常为数百台计算机）的最常见方法之一基于磁盘克隆技术。系统管理员可以在样本计算机上安装公司使用的基本操作系统和附加软件。在配置该计算机以便在公司网络中进行操作后，可以使用自动化磁盘或系统复制工具（如 Symantec 的Ghost、PowerQuest 的Image Drive 和 Altiris 的RapiDeploy）将样本计算机的驱动器复制到数十台或数百台计算机上。然后，对这些克隆计算机进行最后的调整（如分配唯一名称），然后由公司员工使用。另一种比较流行的部署方法是使用 Microsoft sysdiff 实用工具（Windows 资源工具包的一部分）。此工具需要系统管理员在每台计算机上执行完全安装（通常是无人参与的脚本安装），然后 sysdiff 自动应用附加软件安装映像。由于跳过安装并且磁盘扇区复制比文件复制更有效等原因，基于克隆的部署与类似的 sysdiff 安装相比可以节省数十小时的时间。另外，系统管理员不必了解如何使用无人参与的安装或 sysdiff，也无需创建并调试安装脚本。单这一项就可以节省数小时的工作。返回页首SID 重复问题克隆的问题在于它仅由 Microsoft 提供非常有限的支持。Microsoft 已经声明，只支持在到达 Windows 安装程序的 GUI 部分之前获得到克隆系统。在安装到达此步骤时，将为计算机分配名称和唯一的计算机 SID。如果系统是在完成此步骤之后克隆的，则克隆的所有计算机都将具有完全相同的计算机 SID。请注意，只更改计算机名称或将计算机添加到不同的域不会更改计算机 SID。如果计算机先前与某个域相关联，则更改名称或域时只能更改域 SID。要了解克隆可能引起的问题，首先需要了解如何为计算机上的各个本地帐户分配 SID。本地帐户的 SID 由计算机的 SID 和附加的 RID（相对标识符）组成。RID 从某个固定值开始，并且每创建一个帐户就会增加 1。这意味着一台计算机上的第二个帐户会被分配与克隆计算机上的第二个帐户相同的 RID。结果是这两个帐户具有相同的 SID。重复的 SID 在基于域的环境中不是问题，因为域帐户具有基于域 SID 的 SID。但是，根据 Microsoft 知识库文章 Q162001“不要硬盘复制安装的 Windows NT 的各个版本”，在工作组环境中，安全是基于本地帐户 SID 的。因此，如果两台计算机的用户具有相同的 SID，则工作组将无法区分这些用户。对于所有资源（包括文件和注册表项）而言，如果一个用户对其具有访问权限，则另一个用户也对其具有访问权限。重复 SID 可能引起问题的另一个场合是存在使用 NTFS 格式化的可移动媒体，并且将本地帐户安全属性应用于文件和目录。如果将这样的媒体移动到具有相同 SID 的另一台计算机，则当本地帐户的帐户 ID 恰巧与安全属性中的帐户 ID 匹配时，这些帐户将能够访问本来无法访问的文件。如果计算机具有不同的 SID，则不可能发生这种情况。Mark 撰写的题为“NT Rollout Options”（NT 部署选项）的文章已在Windows NT 杂志的 6 月刊中发表。这篇文章更加详细地讨论了重复 SID 问题，而且表明了 Microsoft 对于克隆的官方立场。要查看您的网络中是否有重复 SID 问题，请使用 PsGetSid 来显示计算机 SID。返回页首NewSIDNewSID 是我们开发的可用来更改计算机 SID 的程序。它首先为计算机生成一个随机的 SID，然后更新它在注册表和文件安全描述符中找到的现有计算机 SID 的实例，并用新 SID 替换旧 SID。NewSID 要求使用管理权限运行。它有两个功能：更改 SID 和更改计算机名称。要使用 NewSID 的自动运行选项，请在命令行中指定“/a”。您还可以通过在“/a”开关后面包含新名称来指示它自动更改计算机的名称。例如：newsid /a newname将使 NewSID 无提示运行，将计算机名称更改为“newname”，并且在一切正常的情况下重新启动计算机。注意：如果要运行 NewSID 的系统正在运行 IISAdmin，则必须在运行 NewSID 之前停止 IISAdmin 服务。使用以下命令可停止 IISAdmin 服务：net stop iisadmin /yNewSID 的 SID 同步功能使您可以指定从另一台计算机获取新 SID 而不是随机生成 SID。使用此功能，可以将备份域控制器 (BDC) 移动到一个新域，因为根据 BDC 与其他域控制器 (DC) 具有相同的计算机 SID，可以确定该 BDC 与某个域的关系。只需选择“Synchronize SID”按钮并输入目标计算机的名称。您必须具有更改目标计算机的注册表项的安全设置的权限，这通常意味着您必须以域管理员身份登录才能使用此功能。请注意，当您运行 NewSID 时，注册表的大小将会增长，因此请确保注册表最大大小能够适应这一增长。我们已发现这一增长对系统性能没有明显影响。注册表增长的原因是：当 NewSID 应用临时安全设置时，注册表变零碎了。删除这些设置后，注册表不受影响。重要信息：请注意，虽然我们已经对 NewSID 进行了全面测试，但是您必须自行承担使用它所带来的风险。像使用任何能够更改文件和注册表设置的软件一样，强烈建议您在运行 NewSID 前，对计算机进行完全备份。返回页首移动 BDC将 BDC 从一个域移动到另一个域时，需要遵循以下步骤：1. 启动您要移动的 BDC，然后登录。使用 NewSID 将该 BDC 的 SID 与要将该 BDC 移动到的域的 PDC 进行同步。2. 重新启动更改了 SID 的系统 (BDC)。因为现在与该 BDC 相关联的域已经具有一个活动的 PDC，所以该 BDC 将作为其新域中的 BDC 启动。3. 该 BDC 将显示为服务器管理器中的工作站，因此可以使用“添加到域”按钮将该 BDC 添加到其新域中。添加时一定要指定“BDC”单选按钮。返回页首工作原理NewSID 首先读取现有计算机 SID。计算机的 SID 存储在注册表的 SECURITYSAMDomainsAccount 下的 SECURITY 配置单元中。此项包含一个名为 F 的值和一个名为 V 的值。V 值是一个将计算机 SID 嵌入到其数据末尾的二进制值。NewSID 能够确保此 SID 具有标准格式（三个 32 位子颁发机构位段的前面带有三个 32 位颁发机构位段）。接下来，NewSID 为计算机生成一个新的随机 SID。NewSID 的生成过程竭力创建了一个真正的 96 位随机值，该值将替换组成计算机 SID 的 3 个子颁发机构值（共 96 位）。计算机 SID 的替换分为以下三个阶段。在第一阶段中，扫描 SECURITY 和 SAM 注册表配置单元，以便在项名称以及项值中查找旧的计算机 SID。如果在值中找到 SID，则用新的计算机 SID 替换它；如果在名称中找到 SID，则会将相应的项及其子项复制到与替换旧 SID 的新 SID 具有相同名称的新子项。最后两个阶段涉及到更新安全描述符。注册表项和 NTFS 文件具有与自身相关联的安全性。安全