locked
A propos des SID en double RRS feed

  • Question

  • Bonjour,

    J'ai découvert il y a quelques temps qu'une série d'images Ghost avaient été déployé sur mon réseau alors qu'elles n'avaient pas eu le sysprep !!!

    J'ai donc fait un batch qui me récupère le SID de toutes les machines de mon domaine :

    psgetsid.exe" \\* >>e:\requetes\sid\sid.txt

     

    et là surprise ! j'ai environ 40 machines XP qui ont des SID identiques ! par contre tous les SID n'ont pas le même nombre de caractère, est-ce normal ?

    par exemple j'ai un SID comme ça :  S-1-5-21-1678404567-4226770661-3053438910

    et un autre comme ça : S-1-5-21-899100455-1366242756-3901584155

    ça fait un caractère de moins... est-ce que passer NewSID est suffisant pour résoudre le pb ?

     

    par contre là où c'est plus grave c'est que j'ai des serveurs qui ont le même SID !!! dont 2 de mes 3 DC !!!!!!!!!!!!!!!! ARGH !!!!

    peut-on passer NewSID ? sur un DC ? sinon comment faire ? ça me fait un peu peur là !


    Merci d'avance

    JCConvenant

    samedi 23 octobre 2010 12:21

Réponses

  • Attention, on arrive dans une discussion qui va virer à la contestation :)

    Pour simplifier (un peu) :

    - à l'installation de Windows, un identifiant unique est assigné à la machine. Ce Sid est utilisé pour les authentifications locales et est stocké en registry. Nous sommes dans un environnement Workgroup. Si deux machines ont le même, du fait d'un utilitaire de clonage par exemple, des problèmes d'authentification peuvent donc apparaitre.

    - Lors de l'ajout au domaine, un Sid, dérivé de celui du domaine lui même, est assigné à la machine. D'où l'existence entre l'un et l'autre.

    A l'époque, l'utilitaire NewSID avait été développé pour changer le local SID d'une machine, afin d'éviter les incohérences, qui finalement n'ont plus été considérées comme des problématiques de sécurité (voir réponse de Mark Russinovich à ce propos ICI ), d'où la suppression de l'outil.

    Le seul cas "bien connu" de problématique de Sid est le suivant :

    - le Sid local d'une machine, promue afin dêtre le premier DC d'un nouveau domaine DOIT être différents des SID locaux de toutes les autres machines ajoutées au domaine.

    ex :

    Local SID : S-1-5-21-3179452221-47502888-2255943206
    => DCPROMO

    Local SID : S-1-5-21-3179452221-47502888-2255943206
    Domain Root SID: S-1-5-21-3179452221-47502888-2255943206
    Domain Controller SID: S-1-5-21-3179452221-47502888-2255943206-1000

    En admettons que la machine est été clonée avant son DCPROMO.

    Local SID machine 2 : : S-1-5-21-3179452221-47502888-2255943206

    Comment savoir si l'authentification est locale à machine2 ou sur le domaine de machine 1?
    - On ne peut pas déterminer
    - il faut donc changer le Local SID de machine 2 avant l'ajout au domaine, sous peine d'un message d'erreur de type "Duplicate Sid between this workstation and the domain" à l'ajout au domaine.

    Cordialement,


    Jonathan BISMUTH - Bis IT, MVP Windows Server - Directory Services http://www.bis-it.fr / http://blog.portail-mcse.net
    • Proposé comme réponse Marc Lognoul lundi 25 octobre 2010 09:22
    • Marqué comme réponse Marc Lognoul vendredi 5 novembre 2010 14:58
    lundi 25 octobre 2010 07:54
  • Bonsoir à tous le SID de la Machine au niveau Domaine peut être visible mais pas en totalité à partir de la console AdsiEdit au niveau de l'attribut ObjectSid mais il faut passer par une opération de conversion pour l'avoir sous format S1-XXXX.... sinon plus simplement , on utilisera : dsquery * -filter "(objectcategory=computer)" -attr objectsid pour le SID local de la machine : PSgetSID nom-de-la-machine ferra l'affaire . pour le SID du Domaine , psgetsid Nom-de-domain pour ajouter ma contribution au probléme de la duplication des Images sans Sysprep ,on peut avoir des problèmes avec WSUS, des problèmes d'accès au partage/d'impression, authentification local. A+ Khalil
    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    • Proposé comme réponse Marc Lognoul mercredi 27 octobre 2010 16:38
    • Marqué comme réponse Marc Lognoul vendredi 5 novembre 2010 14:58
    lundi 25 octobre 2010 19:51

Toutes les réponses

  • Bonjour,

    newSID n'est plus utilisé.

    http://www.alexwinner.com/index.php?option=com_content&view=article&id=8:changesid&catid=1:win2008&Itemid=3

    Cordialement,


    Un MCSE un peu perdu...
    samedi 23 octobre 2010 15:59
  • merci de l'info je ne savais pas qu'il n'était plus utilisé ;)

    par contre je ne comprend pas comment il est possible d'avoir des machines avec le même SID sachant qu'elles sont sur le domaine ! Je pensais que lors de l'intégration sur le domaine, le SID changeait ! ça voudrait dire que le ghost a été fait après que l'image de départ ait été inscrite sur le domaine.... ok pourquoi pas (d'ailleurs à quoi ça sert de faire le sysprep si le ghost est fait avec une machine en workgroup) mais alors comment est-ce possible pour un DC ? Mes DC sont virtuels sous VmWare et je les crée à partir d'un template qui n'est pas sur le domaine ! donc au moment où je les déclare DC ils devraient changer de SID ?

    Merci d'avance

    JCConvenant

    samedi 23 octobre 2010 18:49
  • Bonjour,

    Le SID du domaine change effectivement, pas celui de la machine. Tu pourrais effectivement avoir des soucis du fait du duplicate si tu utilises des comptes locaux ou des applications utilisant des liens locaux à la machine (au hasard, du SQL Server). Ce n'es typiquement pas le cas sur un DC 2003, et c'est pourquoi tu n'as pas rencontré de problème de réplication par exemple.

    A étudier au ca par cas mais, par principe du fait de la situation bancale, je planifierais tout de même u changement de Sid pour les machines impactées, de même qu'une rétrogradation / changement d eSid / dcpromo de deux DC sur trois... après, peut êtr esuis je parano? :)

     

    Cordialement,


    Jonathan BISMUTH - Bis IT, MVP Windows Server - Directory Services http://www.bis-it.fr / http://blog.portail-mcse.net
    lundi 25 octobre 2010 07:11
  • Bonjour,

    Je ne savais pas qu'il y a un SID de domaine.

    -objet compte utilisateurs,

    -objet compte d’ordinateurs,

    -objet compte de groupes

     

    Ils disposent tous d’un SID unique a leurs création.

     

    Mais alors à quoi correspond le SID de domaine ? et combien y en a t-il ?

     

    Cordialement,

     


    Un MCSE un peu perdu...
    lundi 25 octobre 2010 07:33
  • Attention, on arrive dans une discussion qui va virer à la contestation :)

    Pour simplifier (un peu) :

    - à l'installation de Windows, un identifiant unique est assigné à la machine. Ce Sid est utilisé pour les authentifications locales et est stocké en registry. Nous sommes dans un environnement Workgroup. Si deux machines ont le même, du fait d'un utilitaire de clonage par exemple, des problèmes d'authentification peuvent donc apparaitre.

    - Lors de l'ajout au domaine, un Sid, dérivé de celui du domaine lui même, est assigné à la machine. D'où l'existence entre l'un et l'autre.

    A l'époque, l'utilitaire NewSID avait été développé pour changer le local SID d'une machine, afin d'éviter les incohérences, qui finalement n'ont plus été considérées comme des problématiques de sécurité (voir réponse de Mark Russinovich à ce propos ICI ), d'où la suppression de l'outil.

    Le seul cas "bien connu" de problématique de Sid est le suivant :

    - le Sid local d'une machine, promue afin dêtre le premier DC d'un nouveau domaine DOIT être différents des SID locaux de toutes les autres machines ajoutées au domaine.

    ex :

    Local SID : S-1-5-21-3179452221-47502888-2255943206
    => DCPROMO

    Local SID : S-1-5-21-3179452221-47502888-2255943206
    Domain Root SID: S-1-5-21-3179452221-47502888-2255943206
    Domain Controller SID: S-1-5-21-3179452221-47502888-2255943206-1000

    En admettons que la machine est été clonée avant son DCPROMO.

    Local SID machine 2 : : S-1-5-21-3179452221-47502888-2255943206

    Comment savoir si l'authentification est locale à machine2 ou sur le domaine de machine 1?
    - On ne peut pas déterminer
    - il faut donc changer le Local SID de machine 2 avant l'ajout au domaine, sous peine d'un message d'erreur de type "Duplicate Sid between this workstation and the domain" à l'ajout au domaine.

    Cordialement,


    Jonathan BISMUTH - Bis IT, MVP Windows Server - Directory Services http://www.bis-it.fr / http://blog.portail-mcse.net
    • Proposé comme réponse Marc Lognoul lundi 25 octobre 2010 09:22
    • Marqué comme réponse Marc Lognoul vendredi 5 novembre 2010 14:58
    lundi 25 octobre 2010 07:54
  • Bonjour Jonathan,

    Je ne vois pas de sujet de contestation, tu as très bien résumé la situation.

    Les seules "surprises" à attendre ne sont pas au niveau sécuritaire mais plus au niveau de la gestion de la configuration de certaines applications. En effet, celles-ci utilisent parfois le SID local comme outil de référencement (ex: l'agent Windows Update).


    --- Marc Lognoul [MCSE, MCTS, MVP] Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things Blog EN: http://www.marc-antho-etc.net/blog/ Blog FR: http://www.marc-antho-etc.net/blogfr/
    lundi 25 octobre 2010 09:42
  • Merci Jonathan pour ton explication,

    Lorsque j'utilise PSGETSID sur un serveur 2003 monté en DC, j'obtiens le SID correspondant au compte ordinateur du serveur.

    Alors la question est,

    Comment tu fait pour connaitre le Local SID, le Domain Root SID ainsi que le Domain Controller SID ?

    Cordialment,

     


    Un MCSE un peu perdu...
    lundi 25 octobre 2010 16:17
  • Merci pour toutes ces infos, je suis parano moi aussi donc je vais les changer

    Par contre pour mes 2 DC, ça veut dire que dans mon template je dois rajouter le sysprep aussi ?

     

    et comme sanio74, j'aimerais connaitre les 3 SID !

     

    merci encore

    lundi 25 octobre 2010 19:02
  • Bonsoir à tous le SID de la Machine au niveau Domaine peut être visible mais pas en totalité à partir de la console AdsiEdit au niveau de l'attribut ObjectSid mais il faut passer par une opération de conversion pour l'avoir sous format S1-XXXX.... sinon plus simplement , on utilisera : dsquery * -filter "(objectcategory=computer)" -attr objectsid pour le SID local de la machine : PSgetSID nom-de-la-machine ferra l'affaire . pour le SID du Domaine , psgetsid Nom-de-domain pour ajouter ma contribution au probléme de la duplication des Images sans Sysprep ,on peut avoir des problèmes avec WSUS, des problèmes d'accès au partage/d'impression, authentification local. A+ Khalil
    ----------- Merci Khalil Benz [MCSE - MCTS 2008 - MCTS ISA- MCT]
    • Proposé comme réponse Marc Lognoul mercredi 27 octobre 2010 16:38
    • Marqué comme réponse Marc Lognoul vendredi 5 novembre 2010 14:58
    lundi 25 octobre 2010 19:51
  • Merci pour toutes ces réponses, je vais analyser tout ça et prendre les mesures nécessaires !

     

    c'est vrai que j'ai des souci avec WSUS justement, des machines qui trouvent pas WSUS !

     

    Merci

    mardi 26 octobre 2010 17:31