[Linuxtrent] Re: sadms
- From: Nicola Ferrari <nicolafrr@xxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Sun, 26 Aug 2012 11:55:43 +0200
On 08/26/2012 11:33 AM, Marco Ciampa wrote:
Okkio che il SID non deve cambiare solo per il Controller di Dominio
(ergo il server). Nei client il SID non è richiesto per cui cambiarlo
è inutile. Quando tu colleghi una macchina ad un server di dominio,
viene creato un account macchina che dipende da NOME MACCHINA che,
deve comunque essere diverso: immagina di condividere una cartella, se
tutte le macchine si chiamano allo stesso nome come diavolo può
funzionare: \\nome_macchina\cartella ??? Ergo: io ho delle macchine
clonate. Per metterle nel dominio basta: 1) copiare la macchina (se la
fai uscire dal dominio prima di farne la copia hai una copia che eviti
l'operazione (2) per tutte le clonazioni... 2) farla uscire dal
dominio (la metti in un workgroup) 2) cambiargli nome (tra l'altro
_devi_ farlo se no la rete fa casino) 3) rimetterla nel dominio (se
imposti le policy come detto sopra, l'immagine è ripristinabile senza
che esca dal domini dopo un mese...)
Non è del tutto vero. Ti cito alcuni casi in cui è pesantemente
richiesto un SID diverso per ogni macchina (in fin dei conti basta
lanciare sysprep, non costa nulla...)
1) Presenza di un server WSUS nella rete...
Macchine con SID uguale mi hanno dato un sacco di noie nella
distribuzione degli upgrades.
2) Permessi di accesso a cartelle e altre risorse date a livello di
macchina, utilizzati ad esempio nelle policy per la distribuzione di
script di avvio/spegnimento di Windows.
Alcuni file, ad esempio particolari script di avvio, necessitano di
permission NTFS a livello macchina, e non utente, per servizi eseguiti
con l'account NOMEMACCHINA$.
Il problema è che, il SID corrispondente all'account dell'oggetto
NOMEMACCHINA$ è appunto il sid della macchina, e sulle permission NTFS è
scritto il SID, non il nome macchina.
Percui che succede se, in una permission devi risolvere un SID a cui
corrispondono "n" nomi uguali, invece che uno solo univoco, a che
macchina lo fai corrispondere??
Questo sistema di corrispondenza SID -> Nome macchina, è usato anche da
altri servizi...
3) Le informazioni sull'attivazione del prodotto di Windows, sono
fortemente legate al SID, quindi per essere a posto con le licenze CAL
verso il server, il SID va cambiato.
(Anche la "gestione licenze" dei domini Win2003 e 2008 fa riferimento al
SID della macchina per capire se è connessa o no, e conteggiare le
connessioni).
Io rimango dell'idea che per evitare fastidi, il SID vada rigenerato.
Lanciare sysprep /generalize /shutdown prima di clonare l'immagine non
costa nulla...
Ciao,
Nick
+---------------------+
| Linux User #554252 |
+---------------------+
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: