Czy w obecnych czasach - komputery z systemem Windows 7 muszą mieć indywidualny SID, żeby mogł prawidłowo w pełni pracować w domenie?
Spotkałem się z opiniami, że obecnie SID komputera nie jest wykorzystywany.
Czy w obecnych czasach - komputery z systemem Windows 7 muszą mieć indywidualny SID, żeby mogł prawidłowo w pełni pracować w domenie?
Spotkałem się z opiniami, że obecnie SID komputera nie jest wykorzystywany.
Identyfikatory bezpieczeństwa SID takich obiektów w Active Directory jak Użytkownik, grupa i komputer wykorzystywane są w procesie poświadczenie tożsamości tych obiektów (uwierzytelnienie i autoryzacja), a co za tym idzie odgrywają podstawową rolę w dostępie do zasobów organizacji. Dlatego muszą być jednoznaczne i unikalne.
Obaj panowie macie rację, bo piszecie o dwóch różnych SID-ach. W środowisku domenowym komputer korzysta z dwóch SID-ów.
Pierwszy generowany jest podczas instalacji systemu i wykorzystywany między innymi do generowania SID-ów dla kont lokalnych.
Drugi generowany jest podczas dodawania komputera do domeny składa się on z SID-a domeny ROOT-owej i RID-a dodawanego przez kontroler domeny.
Jeśli chodzi o klony komputerów / SID-ów, z punktu widzenia pracy w domenie, to SID lokalny może się powtarzać miedzy maszynami w domenie (choć Microsoft nigdzie tego oficjalnie nie napisze).
Natomiast nie może powtarzać się SID komputera w domenie. Sytuacja jednakowych SID-ów lokalnych zdarza się, gdy klonujemy komputer przed dodaniem do domeny i jest dopuszczalna, jeśli konta lokalne (komputera i użytkowników) nie będą wykorzystywane w sieci.
Sytuacja jednakowych SID-ów domenowych zdarzyć się może, gdy klonujemy komputer po dodaniu d domeny i zawsze kończyć się będzie problemami (w domenie konto jest jedno i nie ma klona SID-a).
Wyjątkiem jest pierwszy kontroler domeny ROOT-owej, ponieważ domena dostaje SID-a na podstawie SID-a lokalnego tego komputera, więc powinniśmy dopilnować, żeby nie pojawiły nam się komputery będące klonem pierwszego kontrolera, nawet sprzed promocji.