Sid что это такое
Sid что это такое
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами установили домен Active Directory на Windows Server 2019. Одним из краеугольных понятий в AD является идентификатор безопасности компьютера SID, о нем и пойдет речь. Мы разберем, какие они бывают у сервера и рабочей станции, а так же научимся определять SID компьютера, буквально за минуту.
Сколько у компьютера SID-ов?
Существует два типа SID у компьютера:
В обоих случаях у вас будет два абсолютно разных SID. Первый дескриптор безопасности у вас генерируется при установке системы, второй если вы вводите его в домен AD. И так, у меня есть тестовый домен root.pyatilistnik.org. Есть клиентская станция с Windows 10 1803. Для того, чтобы вам показать разницу и оба SID идентификатора на моей тестовой Windows 10, мы воспользуемся утилитой Марка Русиновича PsGetSid из инструментария Sysinternals (Скачать PsGetSid можно по ссылке https://docs.microsoft.com/en-us/sysinternals/downloads/psgetsid). Распаковываете архив с утилитой, открываете командную строку от имени администратора и переходите с помощью cd в каталог с утилитой PsGetSid.
Первым делом я выведу имя компьютера, через команду hostname. В моем примере, это W10-CL01.
Далее я выведу локальный SID компьютера, через утилиту PsGetSid:
В итоге я получил SID for W10-CL01\w10-cl01:S-1-5-21-7706586-876249769-275126362. Обратите внимание, что перед идентификатором безопасности идет имя компьютера, это сразу говорит, что он локальный.
И команда указанная выше, показывает вам доменный SID рабочей станции. SID for ROOT\w10-cl01$:S-1-5-21-233550040-578987154-4094747311-1602. Обратите внимание, что перед идентификаторам идет имя домена ROOT\.
Нюансы идентификаторов безопасности на рабочих станциях
Некоторое время назад, Марк Руссинович, очень известный человек в мире Microsoft, написал замечательную статью, про мифы дублирования SID, где показал на практике свои мысли, но после прочтения статьи у некоторых людей оставалась в голове путаница или вопросы, \ бы хотел немного уточнить по статье (Ссылка на нее https://blogs.technet.microsoft.com/mark_russinovich/2009/11/15/sid/).
Предположим, что вы клонируете нужную вам виртуальную машину или хост. Если вы не обезличиваете систему, с помощью Sysprep, то у вас все полученные клоны систем, будут иметь один локальный SID компьютера. Если мы говорим про окружение в виде рабочей группы в локальной сети, то ни каких проблем с доступом или конфликтом с доступом к ресурсам вы не увидите. Но вот в случае с доменным SID, такое не получится, он должен быть уникальным в пределах Active Directory, в противном случае, у вас будут конфликты между двумя объектами. Убедитесь, что после клонирования и обезличивания у вас разные SID, полученные от мастера RID.
Например, если вы попытаетесь восстановить безопасный канал между контроллером домена и клонированной машиной у которой дублирующий идентификатор безопасности, то она в домен попадет, но выкинет из него первую рабочую станцию и еще кучу различного и разного, глючного поведения.
Методы определения сида компьютера
Хочу отметить, что данную команду вы должны выполнять либо на контроллере домена или же на рабочей станции, где установлены консоли администрирования и утилиты из пакета RSAT.
тут так же будет запрошен SID учетной записи «Администратор». Если компьютер доменный, то нам поможет командлет Get-ADComputer. Запускаем оснастку PowerShell и вводим команду:
Как видите методов очень много. Видел я метод и получения сида из реестра Windows, в ветке
Хорошо известные идентификаторы безопасности
Хорошо известные идентификаторы безопасности (SID) обозначают универсальные группы и универсальных пользователей. Например, существуют хорошо известные идентификаторы безопасности для обнаружения следующих групп и пользователей:
Существуют универсальные хорошо известные идентификаторы безопасности, которые важны для всех безопасных систем, использующих эту модель безопасности, включая операционные системы, отличные от Windows. кроме того, существуют хорошо известные идентификаторы безопасности, которые имеют смысл только в Windowsных системах.
Windows API определяет набор констант для хорошо известных центров идентификации и значений относительных идентификаторов (RID). Эти константы можно использовать для создания хорошо известных идентификаторов безопасности. В следующем примере объединяются _ _ _ постоянные центры безопасности SID и _ _ константы безопасности RID, чтобы отобразить универсальный идентификатор SID для специальной группы, представляющей всех пользователей (все или мир):
Оставшаяся часть этого раздела содержит таблицы хорошо известных идентификаторов безопасности и таблицы с константами «центр идентификации» и «подавторы», которые можно использовать для построения известных идентификаторов безопасности.
| Универсальный известный идентификатор безопасности | Строковое значение | Перечислены |
|---|---|---|
| Идентификатор безопасности null | S – 1-0-0 | Группа без членов. Это часто используется в случае неизвестного значения идентификатора безопасности. |
| World | S – 1-1-0 | Группа, включающая всех пользователей. |
| Локальная | S – 1-2-0 | Пользователи, которые входят в систему терминалов локально (физически) подключены к системе. |
| Идентификатор создателя владельца | S – 1-3-0 | Идентификатор безопасности, заменяемый идентификатором безопасности пользователя, создавшего новый объект. Этот идентификатор безопасности используется в наследуемых ACE. |
| Идентификатор группы Creator | S – 1-3-1 | Идентификатор безопасности, заменяемый SID основной группы пользователя, создавшего новый объект. Используйте этот идентификатор безопасности в наследуемых ACE. |
В следующей таблице перечислены предопределенные константы центра идентификации. Первые четыре значения используются с универсальными хорошо известными идентификаторами безопасности. последнее значение используется с Windows хорошо известными идентификаторами безопасности.
| Центр идентификаторов | Значение | Строковое значение |
|---|---|---|
| Центр безопасности с _ нулевым значением _ SID _ | 0 | S – 1-0 |
| Центр безопасности SECURITY _ World _ _ | 1 | S – 1-1 |
| _локальный _ Центр безопасности SID _ | 2 | S – 1-2 |
| Центр безопасности » _ создатель безопасного _ кода» _ | 3 | S – 1-3 |
| _Центр безопасности NT _ | 5 | S – 1-5 |
Следующие значения RID используются с универсальными известными идентификаторами безопасности. В столбце «центр идентификаторов» отображается префикс центра идентификации, с помощью которого можно объединить RID для создания универсального идентификатора безопасности.
| Центр относительных идентификаторов | Значение | Строковое значение |
|---|---|---|
| _идентификатор безопасности NULL _ | 0 | S – 1-0 |
| _RID в сфере безопасности _ | 0 | S – 1-1 |
| _локальный _ RID безопасности | 0 | S – 1-2 |
| _идентификатор безопасности локального _ входа в систему _ | 1 | S – 1-2 |
| _владелец СОЗДАТЕЛЯ безопасности, _ _ RID | 0 | S – 1-3 |
| _ _ RID группы создателя _ безопасности | 1 | S – 1-3 |
предопределенный _ центр безопасности NT _ authority (S-1-5) создает неуниверсальные идентификаторы безопасности, но они имеют смысл только при установке Windows. Вы можете использовать следующие значения RID с центром безопасности _ NT _ для создания известных идентификаторов безопасности.
Следующие идентификаторы RID задаются относительно каждого домена.
| RID | Значение | Перечислены |
|---|---|---|
| _псевдоним домена _ RID _ цертсвк _ _ Группа доступа _ DCOM | 0x0000023E | Группа пользователей, которые могут подключаться к центрам сертификации с помощью распределенной объектной модели компонента (DCOM). |
| _ _ Администратор RID пользователя _ домена | 0x000001F4 | Учетная запись пользователя с правами администратора в домене. |
| _ _ гость RID пользователя _ домена | 0x000001F5 | Учетная запись гостевого пользователя в домене. Пользователи, не имеющие учетной записи, могут автоматически войти в эту учетную запись. |
| _ _ Администраторы RID группы _ домена | 0x00000200 | Группа администраторов домена. Эта учетная запись существует только в системах под управлением серверных операционных систем. |
| _Пользователи группы домена _ RID _ | 0x00000201 | Группа, содержащая все учетные записи пользователей в домене. Все пользователи автоматически добавляются в эту группу. |
| _ _ гости RID группы _ домена | 0x00000202 | Учетная запись гостевой группы в домене. |
| _ _ Компьютеры RID группы _ домена | 0x00000203 | Группа компьютеров домена. Все компьютеры в домене являются членами этой группы. |
| _ _ контроллеры RID группы домена _ | 0x00000204 | Группа контроллеров домена. Все контроллеры домена в домене являются членами этой группы. |
| _ _ _ Администраторы сертификатов RID группы _ домена | 0x00000205 | Группа издателей сертификатов. Компьютеры, на которых выполняются службы сертификации, являются членами этой группы. |
| _ _ контроллеры домена RID группы домена _ _ только для предприятия _ _ | 0x000001F2 | Группа корпоративных контроллеров домена только для чтения. |
| _ _ _ Администраторы схемы RID группы _ домена | 0x00000206 | Группа администраторов схемы. Члены этой группы могут изменять схему Active Directory. |
| _ _ _ Администраторы предприятия RID группы _ домена | 0x00000207 | Группа администраторов предприятия. Члены этой группы имеют полный доступ ко всем доменам в Active Directory лесу. Enterprise администраторы отвечают за операции на уровне леса, такие как добавление или удаление новых доменов. |
| _ _ _ Администраторы политики RID группы _ домена | 0x00000208 | Группа администраторов политики. |
| _ _ контроллеры RID группы домена _ только для чтения _ | 0x00000209 | Группа контроллеров домена только для чтения. |
| _ _ _ клонированные _ контроллеры группы домена | 0x0000020A | Группа клонированных контроллеров домена. |
| _ _ зарезервированный Идентификатор RID группы домена _ _ | 0x0000020C | Зарезервированная группа CDC. |
| _Пользователи, _ _ защищенные с RID группы домена _ | 0x0000020D | Группа защищенных пользователей. |
| _ _ _ Администраторы ключа RID группы _ домена | 0x0000020E | Группа «Администраторы ключей». |
| _ _ _ _ Администраторы корпоративных ключей RID группы _ домена | 0x0000020F | Группа «Администраторы корпоративных ключей» |
Для указания обязательного уровня целостности используются следующие идентификаторы RID.
| RID | Значение | Перечислены |
|---|---|---|
| _RID, обязательный для безопасности _ без доверия _ | 0x00000000 | Недоверенном. |
| низкий уровень безопасности с _ _ низким уровнем _ RID | 0x00001000 | Низкая целостность. |
| _обязательный _ средний уровень безопасности _ RID | 0x00002000 | Средняя целостность. |
| _обязательный _ средний уровень безопасности _ плюс _ RID | _Обязательный средний уровень безопасности ( _ RID) _ + 0x100 | Средний высокий уровень целостности. |
| _высокий уровень безопасности — обязательный _ _ | 0X00003000 | Высокая целостность. |
| _RID, обязательный в _ системе безопасности _ | 0x00004000 | Целостность системы. |
| _RID, обязательный для защиты _ защищенного _ процесса _ | 0x00005000 | Защищенный процесс. |
| RID | Значение | Строковый параметр | Перечислены |
|---|---|---|---|
| _Администраторы RID псевдонимов доменов _ _ | 0x00000220 | S – 1-5-32-544 | Локальная группа, используемая для администрирования домена. |
| _псевдонимы домена _ RID _ Пользователи | 0x00000221 | S – 1-5-32-545 | Локальная группа, представляющая всех пользователей в домене. |
| _псевдонимы домена _ RID _ гости | 0x00000222 | S – 1-5-32-546 | Локальная группа, представляющая гостевые домены. |
| _псевдоним домена _ RID _ _ Пользователи | 0x00000223 | S – 1-5-32-547 | Локальная группа, используемая для представления пользователя или набора пользователей, которые хотят обрабатывать систему так, как будто это персональный компьютер, а не как Рабочая станция для нескольких пользователей. |
| операции _ с _ _ учетными записями RID псевдонима домена _ | 0x00000224 | S – 1-5-32-548 | Локальная группа, существующая только в системах под управлением серверных операционных систем. Эта локальная группа позволяет управлять учетными записями, которые не являются администраторами. |
| _системные операции _ RID ПСЕВДОНИМа домена _ _ | 0x00000225 | S – 1-5-32-549 | Локальная группа, существующая только в системах под управлением серверных операционных систем. Эта локальная группа выполняет системные функции администрирования, не включая функции безопасности. Он устанавливает сетевые папки, управляет принтерами, разблокирует рабочие станции и выполняет другие операции. |
| операции _ печати псевдонима домена _ RID _ _ | 0x00000226 | S – 1-5-32-550 | Локальная группа, существующая только в системах под управлением серверных операционных систем. Эта локальная группа управляет принтерами и очередями печати. |
| операции _ _ _ резервного копирования RID псевдонима домена _ | 0x00000227 | S – 1-5-32-551 | Локальная группа, используемая для управления назначением привилегий резервного копирования и восстановления файлов. |
| _репликатор RID псевдонима домена _ _ | 0x00000228 | S – 1-5-32-552 | Локальная группа, отвечающая за копирование баз данных безопасности с основного контроллера домена на резервные контроллеры домена. Эти учетные записи используются только системой. |
| _псевдонимы домена _ RID _ RAS _ Server | 0x00000229 | S – 1-5-32-553 | Локальная группа, представляющая серверы RAS и IAS. Эта группа разрешает доступ к различным атрибутам пользовательских объектов. |
| _Псевдоним домена _ RID _ PREW2KCOMPACCESS | 0x0000022A | S – 1-5-32-554 | локальная группа, которая существует только в системах, где работает сервер Windows 2000. Дополнительные сведения см. в разделе разрешение анонимного доступа. |
| _ _ _ _ Пользователи удаленного рабочего стола RID с псевдонимом домена _ | 0x0000022B | S – 1-5-32-555 | Локальная группа, представляющая всех пользователей удаленного рабочего стола. |
| операции _ _ _ конфигурации сети RID _ для псевдонима домена _ | 0x0000022C | S – 1-5-32-556 | Локальная группа, представляющая конфигурацию сети. |
| _построители _ _ доверия входящего _ леса _ RID псевдонима _ домена | 0x0000022D | S – 1-5-32-557 | Локальная группа, представляющая пользователей с доверием лесов. |
| _ _ _ Пользователи мониторинга RID с псевдонимом домена _ | 0x0000022E | S – 1-5-32-558 | Локальная группа, представляющая всех отслеживаемых пользователей. |
| _Пользователи с псевдонимами доменов _ RID _ _ | 0x0000022F | S – 1-5-32-559 | Локальная группа, ответственная за регистрацию пользователей. |
| _псевдоним домена _ RID _ аусоризатионакцесс | 0x00000230 | S – 1-5-32-560 | Локальная группа, представляющая все права доступа. |
| ДОМЕНный _ псевдоним _ RID _ _ серверы лицензирования TS _ | 0x00000231 | S – 1-5-32-561 | Локальная группа, существующая только в системах под управлением серверных операционных систем, которые поддерживают службы терминалов и удаленный доступ. |
| _ _ _ Пользователи DCOM с псевдонимами доменов _ | 0x00000232 | S – 1-5-32-562 | Локальная группа, представляющая пользователей, которые могут использовать распределенную модель объектов компонента (DCOM). |
| _псевдоним домена _ RID _ иусерс | 0X00000238 | S – 1-5-32-568 | Локальная группа, представляющая пользователей Интернета. |
| _ _ _ Операторы шифрования RID псевдонима домена _ | 0x00000239 | S – 1-5-32-569 | Локальная группа, представляющая доступ к операторам шифрования. |
| _псевдоним домена _ RID _ _ Группа участников с кэшем _ | 0x0000023B | S – 1-5-32-571 | Локальная группа, представляющая субъекты, которые могут быть кэшированы. |
| _ _ _ _ Группа некэшированных _ участников _ RID в псевдониме домена | 0x0000023C | S – 1-5-32-572 | Локальная группа, представляющая субъекты, которые не могут быть кэшированы. |
| _ _ _ _ _ _ группа читателей для псевдонимов доменов RID | 0x0000023D | S – 1-5-32-573 | Локальная группа, представляющая читателей журнала событий. |
| _псевдоним домена _ RID _ цертсвк _ _ Группа доступа _ DCOM | 0x0000023E | S – 1-5-32-574 | Локальная группа пользователей, которые могут подключаться к центрам сертификации с помощью распределенной объектной модели компонента (DCOM). |
| _псевдоним домена _ RID _ _ серверы удаленного _ доступа _ RDS | 0x0000023F | S – 1-5-32-575 | Локальная группа, представляющая серверы удаленного доступа RDS. |
| _псевдоним домена _ RID _ _ серверы конечных точек RDS _ | 0x00000240 | S – 1-5-32-576 | Локальная группа, представляющая серверы конечных точек. |
| _псевдоним домена _ RID _ _ серверы управления _ RDS | 0x00000241 | S – 1-5-32-577 | Локальная группа, представляющая серверы управления. |
| _псевдонимы доменов _ RID для _ администраторов Hyper _ V _ | 0x00000242 | S – 1-5-32-578 | Локальная группа, представляющая администраторов Hyper-v |
| _псевдонимы _ доменов _ Управление доступом RID _ Контроль доступа _ _ | 0x00000243 | S – 1-5-32-579 | Локальная группа, представляющая операции со вспомогательными операциями управления доступом. |
| _ _ _ _ Пользователи удаленного управления RID с псевдонимом домена _ | 0x00000244 | S – 1-5-32-580 | Локальная группа, представляющая пользователей удаленного управления. |
| _ _ учетная запись RID псевдонима домена _ по умолчанию _ | 0x00000245 | S – 1-5-32-581 | Локальная группа, представляющая учетную запись по умолчанию. |
| _псевдоним домена _ RID _ _ Администраторы реплик _ хранилища | 0x00000246 | S – 1-5-32-582 | Локальная группа, представляющая администраторов реплики хранилища. |
| _псевдонимы _ домена _ RID _ владельцы устройств | 0x00000247 | S – 1-5-32-583 | Локальная группа, представляющая собой, может использовать параметры, ожидаемые владельцами устройств. |
Хорошо известное перечисление _ _ _ типов идентификаторов безопасности определяет список часто используемых идентификаторов безопасности. Кроме того, в языке определения дескрипторов безопасности (SDDL) строки SID используются для ссылки на хорошо известные идентификаторы безопасности в строковом формате.
Смена SID при клонировании и массовом развёртывании
Привет, Хабр! Упомянутая в заголовке тема всё ещё порождает множественные дискуссии и недопонимание между системными администраторами. В своей статье я постараюсь ответить на следующие вопросы:
В основу рассуждений была взята популярная статья Марка Руссиновича (доступна также на русском языке), которую довольно часто неправильно интерпретируют (судя по комментариям и «статьям-ответам»), что приводит к неприятным последствиям. Добро пожаловать под кат.
Что такое SID, его типы и чем отличается Machine SID от Domain SID?
В первую очередь, важно различать SID компьютера (Machine SID) и SID домена (Domain SID), которые являются независимыми и используются в разных операциях.
Machine SID и Domain SID состоят из базового SID’а (base SID) и относительного SID’а (Relative SID = RID), который «приклеивается» в конец к базовому. Базовый SID можно рассматривать как сущность, в рамках которой можно определить группы и аккаунты. Машина (компьютер) является сущностью, в рамках которой определяются локальные группы и аккаунты. Каждой машине присваивается machine SID, и SID’ы всех локальных групп и аккаунтов включают в себя этот Machine SID с добавлением RID в конце. Для примера:
| Machine SID для машины с именем DEMOSYSTEM | S-1-5-21-3419697060-3810377854-678604692 |
| DEMOSYSTEM\Administrator | S-1-5-21-3419697060-3810377854-678604692-500 |
| DEMOSYSTEM\Guest | S-1-5-21-3419697060-3810377854-678604692-501 |
| DEMOSYSTEM\CustomAccount1 | S-1-5-21-3419697060-3810377854-678604692-1000 |
| DEMOSYSTEM\CustomAccount2 | S-1-5-21-3419697060-3810377854-678604692-1001 |
Именно SID’ы (а не имена) хранятся в токенах доступа (access tokens) и дескрипторах безопасности (security descriptors), и именно SID’ы используются при проверке возможности доступа к объектам системы Windows (в том числе, например, к файлам).
На машине вне домена используются локальные SID’ы, описанные выше. Соответственно, при соединении с машиной удалённо используется локальная аутентификация, поэтому даже имея 2 или более машин с одинаковым machine SID в одной сети вне домена, проблем с логином и работой внутри системы не будет, т.к. SID’ы в операциях удалённой аутентификации попросту не используются. Единственный случай, в котором возможны проблемы, это полное совпадение имени пользователя и пароля на двух машинах – тогда, например, RDP между ними может глючить.
Когда машина добавляется в домен, в игру вступает новый SID, который генерируется на этапе добавления. Machine SID никуда не девается, так же как и локальные группы, и пользователи. Этот новый SID используется для представления аккаунта машины в рамках домена. Для примера:
| Domain SID для домена BIGDOMAIN | S-1-5-21-124525095-708259637-1543119021 |
| BIGDOMAIN\DEMOSYSTEM$ (аккаунт машины (computer account)) | S-1-5-21-124525095-708259637-1543119021-937822 |
| BIGDOMAIN\JOHNSMITH (аккаунт пользователя (user account)) | S-1-5-21-124525095-708259637-1543119021-20937 |
Таким образом, машина DEMOSYSTEM теперь имеет два независимых SID’а:
• Machine SID, определяющая машину как сущность, в рамках которой заданы группы и аккаунты (первая строчка в первой таблице).
• SID аккаунта машины (computer account SID) в рамках домена BIGDOMAIN (вторая строчка во второй таблице).
Основная суть в том, что SID’ы должны быть уникальны в пределах окружения (authority), к которому они применимы. Другими словами, если машине DEMOSYSTEM присвоен machine SID S-1-5-21-3419697060-3810377854-678604692-1000, то неважно, что у другой машины в той же сети будет идентичный machine SID, т.к. этот SID используется только локально (в пределах машины DEMOSYSTEM). Но в пределах домена BIGDOMAIN computer SID у обоих машин должен быть уникальным для корректной работы в этом домене.
Смена SID при клонировании или развёртывании
В применении к продукту Acronis Snap Deploy 5 (основное предназначение — массовое развёртывание систем из мастер-образа), в котором функциональность смены SID-а присутствовала с самой первой версии, это означает, что мы, как и многие пользователи, ошибочно пошли на поводу у устоявшегося мнения, что менять SID нужно.
Однако исходя из вышесказанного, ничего страшного в развёртывании (или клонировании) машины без изменения Machine SID вовсе нет, в случае если это развёртывание происходит до добавления машины в домен. В противном случае — возникнут проблемы.
Из этого правила есть одно исключение: нельзя клонировать машину, если в дальнейшем роль этого клона планируется повышать (promote) до уровня домена контроллера. В этом случае Machine SID домен контроллера будет совпадать с computer SID в созданном домене, что вызовет проблемы при попытке добавления оригинальной машины (из которой производилось клонирование) в этот домен. Это, очевидно, относится только к серверному семейству Windows.
Проблемы, связанные со сменой SID
Пересмотреть точку зрения на функциональность смены SID нас подтолкнул выпуск новой версии Windows. При первом тестовом развёртывании образа Windows 10 со сменой SID на получившейся машине обнаружилось, что кнопка Start перестала нажиматься (и это оказалось только вершиной «айсберга»). Если же развёртывать тот же образ без смены SID, то такой проблемы не возникает.
Основная причина в том, что эта опция вносит изменения практически во всю файловую систему развёртываемой машины. Изменения вносятся в реестр Windows, в разрешения NTFS (NTFS permissions) для каждого файла, в SID’ы локальных пользователей (так как SID пользователя включает в себя в том числе и machine SID; подробнее тут) и т.д.
В случае с Windows 10 большая часть ключей реестра не могла быть модифицирована («Error code = C0000005. Access violation» и другие ошибки) и, как следствие, наша функция смены SID’а отрабатывала не до конца, что и приводило к трагической гибели практически нерабочей копии Windows 10.
Было принято решение убрать эту опцию в случае, если в мастер-образе мы находим Windows 10 (или Windows Server 2016). Решение было принято на основе теоретических выкладок описанных выше плюс, естественно, было подтверждено практикой при тестировании недавно вышедшего обновления Acronis Snap Deploy 5 во множестве комбинаций: с и без переименования машин после развёртывания, с добавлением в домен и рабочую группу, развёртывание из мастер-образов снятых от разных состояний мастер-машины (она была добавлена в домен или рабочую группу в разных тестах) и т.д.
Использование Sysprep
Начиная с Windows NT клонирование (развертывание) ОСи с использованием только NewSID никогда не рекомендовалось самим Microsoft. Вместо этого рекомендуется использовать родную утилиту Sysprep (см. KB314828), которая, помимо смены SID’а, также вносит большое число других изменений, и с каждой новой версией Windows их становится только больше. Вот небольшой (неполный) список основных вносимых изменений:
Таким образом, клонирование/развертывание без использования Sysprep может повлиять (читай «скорее всего, сломает») на функциональность Windows Update, Network Load Balancing, MSDTC, Vista и выше Key Manager Activation (KMS), который завязан на CMID (не путать с Machine SID), также изменяемый Sysprep’ом, и т.д.
Итого
Повторяя TL;DR из начала статьи, основной вывод можно сделать такой: для подготовки образа машины к клонированию/развёртыванию следует использовать sysprep в подавляющем большинстве случаев. 