Windows: Probleme mit doppelter SID erkennen und beheben

Bei diesem Artikel handelt es sich um einen Bericht über einen kürzlich zugetragenen realen Fall.

Im Rahmen eines Kundenprojekts wurden unter anderem neue PCs von einem namhaften Hersteller angeschafft. Der Name wird bewusst nicht genannt, um niemanden unnötig in Misskredit zu bringen, zumal der Autor bislang keine Probleme mit dem Hersteller hatte. Salopp könnte man ausdrücken, das irgendwann immer das erste Mal ist.

Ein wenig Hintergrund

Pro Windows-Netzwerk darf jede SID nur einmal vorkommen. Die SID dient dazu, einen Computer, Benutzer oder eine Gruppe eindeutig zu identifizieren. In diesem Fall ging es um die Computer-SID.

Das eigentliche Problem

Hat man nun mehrere Computer mit der gleichen SID im Netzwerk, so kann das Active Directory nicht eindeutig feststellen, ob der Computer oder der dort angemeldete Benutzer nun zugriffsberechtigt ist oder nicht.

Nahezu ein Klassiker, wie man indirekt feststellen kann, ob man mehrere gleiche Computer-SIDs im Netzwerk hat besteht in einem Blick in den WSUS, sofern man Diesen einsetzt.

Dort zeigt sich dann ein wechselndes Bild. Man sieht niemals alle vorhandenen Computer gleichzeitig und kann beobachten, die z.B. PC01 nach einer Aktualisierung der Ansicht zu PC02 wird.

SIDs auslesen

Im Paket der PsTools gibt es ein kleines Programm namens PsGetSid, mit dessen Hilfe man die Computer- oder auch Benutzer-SID auslesen kann. Startet man das Tool ohne weitere Parameter wird immer die lokale Computer-SID ausgegeben.

Wie kam es (vermutlich) dazu

Da dem Autor die genauen Abläufe beim Hersteller nicht bekannt sind, kann an dieser Stelle nur gemutmaßt werden.

Vermutlich wurde bei der Erstellung des Master-Abbilds mittels Sysprep schlicht vergessen, den Haken bei „Verallgemeinern“ zu setzen.

Folglich hat das Master-Abbild, nach wie vor eine eindeutige SID die dann z.B. auf eine komplette Serie oder Charge von Computern übertragen wird. Auf diese Weise kann man ganz schnell 100 oder mehr Computer mit der gleichen SID erhalten. Fügt man dann mehrere dieser Maschinen dem Netzwerk hinzu, kommt es zu Problemen.

Mögliche Lösungswege

Die sauberste Lösung besteht darin, die betroffenen Systeme sofort Offline zu nehmen, vollständig neu von einem reinen, nicht gebrandeten OEM-Medium zu installieren, da in einem solchen Fall mitunter die Abbilder auf Recovery-Medien (CD, DVD, Partition) ebenfalls die „falsche“ SID enthalten könnten.

Alternativ kann man versuchen, nachträglich Sysprep auszuführen und eine Verallgemeinerung bzw. neue, eindeutige SID generieren zu lassen. Dieser Weg ist allerdings in Abhängigkeit der möglicherweise bereits installierten Software nicht möglich. Windows und Office haben damit erfahrungsgemäß kein Problem. Ob man das allerdings auf jede andere Anwendung umsetzen kann, muss von Fall zu Fall geklärt werden.