- - PR -
コンピュータSIDの重複
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2008-05-14 09:46
基本的なことで大変恐縮なのですが、重複したコンピュータアカウントのSIDに関してご教授頂けないでしょうか。
ADに登録されている、コンピュータアカウントのSIDと、ローカルのレジストリの登録されているローカルPCのSIDの内容が、dsget コマンドや、PsGetSid ツールを使用して調べてみると、全く異なる値が表示されます。 よく言われるSIDの重複事故とは、AD内でのSIDの重複を指すのでしょうか。 たとえば、ゴーストなどを使用して、SysprepのSIDの再構成を実行していないイメージから、クローンPCを作成した場合、レジストリ内でSIDの重複がおこると思うのですが、これがADへのログオン時にどう影響するか、いまいちローカルPCとADに登録されているSIDの紐付けの仕組みがわかりません。 Ntdsutil の、cleanup duplicate sidなどは、AD内の重複を解消する為のコマンドだと思うのですが、ローカルPCのSIDはそのままになるのでしょうか。 また、ローカルのPCでコンピュータのSIDが重複されている起こりうる問題、 AD内で重複している場合におこりうる問題とは、どのようなものでしょうか。 質問ばかりで大変恐縮ですが、どうぞよろしくお願い致します。 |
|
投稿日時: 2008-05-14 18:48
こんばんわ
> いまいちローカルPCとADに登録されているSIDの紐付けの > 仕組みがわかりません。 http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx The SID Duplication Problemを読む限りは関係ないと認識しています。 |
|
投稿日時: 2008-05-14 20:04
PCの SID が重複していても ADへは参加できます。
実際sysprepしてないクローニングマシンが現在ADに参加中です。 ログオンするのはドメインのアカウントとローカルのAdministratorぐらいならば 問題ありません。 SID の重複が問題になるのは、たとえば PC A user1(ローカル管理者) PC B user2(ローカル管理者) のように違うユーザーIDでも SID が同じになってしまう可能性が あるということです。すなわち user1 = user2 user1 は A のみならず、Bの管理者ユーザーと同じSIDを持ってしまいます。 このようなとき、ID・パスワードが違っていても 共有フォルダなどへ パススルーするかどうか・・・・・・その点は、すみません。わかりません。 |
|
投稿日時: 2008-05-15 13:43
ゆいたんさん、まるちねすさん、
早速のご返答ありがとうございます。 確かに、ドメイン環境では、SIDの重複は問題にならないと書かれておりました。 ワークグループ環境では、Computer SID と、RIDからユーザアカウントのSIDが生成されるので、クローンによりSIDが重複していると、まるちねすさんのおっしゃるように、ユーザID名が異なるのに、同じアカウントとしえ扱われてしまうという問題が発生するのですね。ということは、まるちねすさんのおっしゃるように、異なるユーザ名でも、パスワードが同じだと、パススルーで、ログオン出来てしまうのではないかと私も思います。 これがドメイン環境だと、SIDは、ドメインRIDマスタが割り当てるRIDを使用して生成される為に、クローンによって重複の問題はおこらないということですね。 特定のクローンPC(同じイメージ、複数台)でDCからのグループポリシーのダウンロードがうまくいかない(特に制限付ユーザの設定)、突然ドメインリソースにアクセス出来なくなる(セキュアチャンネルが切れる)、などの問題が、SIDの重複に起因しているのではと考えていたのですが、関係ないようですね。 |
|
投稿日時: 2008-05-15 16:11
SIDが同じだと、ローカルのAdministratorは 500番で 確実に他のPCと
同じSIDを持ってしまいますので ネットワークの管理者が全PCのローカルの管理者 だっていう場合には問題はないと思いますが、 運用形態においては ドメインユーザーが通常ログオンするユーザー だけども、ソフトウェアのインストールなどは ローカルの Administrator でログオンしてそれぞれ行ってください。なんて形態もあるかもしれません。 やはり SID は異なるようにしておくのが基本です。 sysprep をし忘れてしまって、後から気づいたのが現状です。 |
|
投稿日時: 2008-05-22 11:21
大変お世話になっております。
SIDの重複でまた、疑問に思うことがあります。 ご指導頂ければ大変助かります。 以下の、Symantecのサイトのゴーストのクローンに関する記述の、 ”ドメインに参加しているワークステーションのためのSID”という項目で、 ワークグループ環境では、セキュリティの問題がおき、ドメインでは、”Windows NT/2000 は、同じ SID を持っている 2台のコンピュータがドメインにログオンすることを許可しません” とかかれております。 http://service1.symantec.com/SUPPORT/INTER/ghostjapanesekb.nsf/0/426f1d5c1160108a88256afc0006a35b?OpenDocument ドメインに既に参加している状態のPCのクローンを作成すると、当然ローカルPCのSIDとドメインのSIDも重複することになるということだと思うのですが、 ローカルのPCに、ローカルPCのSIDと、ドメインのPCのSID両方が登録されているということでしょうか。 そして、そのローカルPCに保存されているドメインPCのSIDとAD上のSIDが紐付けられており、重複するSIDでの同時アクセスを禁止していることなんでしょうか。 確かに、ドメインに参加しているPCで、SIDの重複してしてしまっているPCは、ドメインに参加は出来るのですが、しばらくして、ドメインに入れなくなり(コンピュータアカウントが見つかりませんのメッセージ)、ドメインから抜いたり、名前を変更しても改善されなかったことがありました。 ただ、ローカルPC上で、ドメインPCとして割り当てられているSIDを見る方法がわかりません。 ポリシーの設定がダウンロード出来ないなどの問題も、やはりSIDの重複に起因しているのでしょうか。 質問ばかりで大変恐縮ですが、どうぞよろしくお願い致します。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。