Wie funktioniert NewSID?

Dezember 26, 2008 by Michael Fritz
Filed under: Allgemeines 

Durch die ganzen Lernschmiede und Virtual Server Artikel scheinen laut “Stats“ einige Benutzer mit der Frage “Wie funktioniert NewSID” hier rein zu stolpern. Was liegt also näher, als dieses Thema kurz unter die Lupe zu nehmen? Nix? Gut. Dann los:

 

Von SIDs

Bevor wir uns um das “New” kümmern, wollen wir kurz klären, was eine SID ist. Innerhalb eines komplexen Systems, wie etwa einem Betriebssystem oder einem Netzwerk gibt es viele sogenannte Bezeichner, die eindeutig sein sollten, oder sogar müssen. Dazu gehören z.B. die IP Adresse, der Computername oder auch der Username usw.

Windowssysteme arbeiten mit “Sicherheitsprinzipalen”. Unter Sicherheitsprinzipalen werden verkürzt sämtliche Objekte verstanden, denen innerhalb eines Windowssystems  Berechtigungen zugewiesen werden können. Genau, wenn Sie im Netzwerk oder lokal ab und an ein gar lustiges Fenster mit der Meldung

 

zugriff_verweigert

 

 

 

 

 

 

 

zu Gesicht bekommen, hat Ihr Sicherheitsprinzipal keine ausreichenden Berechtigungen die Ressource zu beschreiben oder auszulesen. Unter Ressourcen versteht Vox Administratuli Dateien, Ordner, Drucker und dergleichen. Sicherheitsprinzipale sind also Benutzeraccounts, Sicherheits-Gruppenaccounts und Computeraccounts. Verteilergruppen fallen nicht darunter.

Der Volksmund sagt gerne: “Namen sind Schall und Rauch.” So auch hier. Jeder Sicherheitsprinzipal ist mit einer Nummer verknüpft. Allein die Nummer zählt! Sie ahnen es schon: Diese Nummer ist die SID – Security Identifer Number. Diese Nummer bleibt auch dann bestehen, wenn der Sicherheitsprinzipal umbenannt wird. Wie gesagt: Namen sind Schall und Rauch. Manche SIDs sind system- und netzwerkweit eindeutig. Darunter fallen beispielsweise alle selbst verwalteten Benutzer und Sicherheitsgruppen. Manche SIDs sind überall gleich, dazu unten mehr.

 

SID Aufbau

Eine SID ist nach folgendem Schema zusammengestrickt:

S-1-5-21-3779662831-1809305666-1600009778-1010

Abschnitt 1
S = Security Identifier

Abschnitt 2
1 = Revisionsnummer – Es gibt bisher nur Version 1

Abschnitt 3
5= Autorität [1]

Abschnitt 4
21-3779662831-1809305666-1600009778 = Subautorität [2]

Abschitt 5
1010 = Relative Identifier [3]

[1] Eine Autorität ist die Ebene, die den Bezugspunkt der SID darstellt. Die am häufigsten vorkommende Autorität ist 5  =  “NT Authority”. Unter den anderen Autoritäten werden zumeist Prinzipale mit bestimmten Funktionen zusammengefasst. So bezieht sich zum Beispiel die Standard SID “S-1-1-0″ der Gruppe “jeder” auf die Autorität 1 = “World Authority”

[2] Die Subautorität beinhaltet zusätzlich eine eindeutige Domänen oder Computernummer.

[3] Der relative Identifier ist nun der eigentliche eindeutige Bezeichner. Wenn Benutzer im System angelegt werden, beginnt die ID erst ab > 1000 (1006) da Microsoft einige Standard-IDs im 500er und 1000er Bereich vorgibt. Der Administratoraccount hat z.B. immer die Nummer 500. Durch den Domänen/Computerbezeichner wird die Nummer jedoch eindeutig.

 

Eindeutig oder “well known”?

SIDs müssen nicht zwingend  eindeutig sein. Wenn das System nur eindeutige SIDs vergeben würden, könnte z.B. eine NTFS formatierte USB Festplatte nicht einfach auf zwei unterschiedlichen Systemen eingestöpselt werden. Der Zugriff würde verweigert. Daher gibt es einige von Microsoft vorgegebene SIDs, die auf allen Systemen gleich sind. Die komplette Liste der “well known SIDs” gibt es hier.

Das Programm NewSID aus der Sysinternals Suite vergibt eine neue SID für den Rechner und die Sicherheitsprizipale, die nicht “well known” sind. Weiterhin werden sämtliche Berechtigungseinträge des Systems mit den neuen SIDs aktualisiert. Derlei Aktionen sind z.B. dann notwendig, wenn man einen Rechner klont. Beim Klonvorgang bleiben alle SIDs der Referenzmaschine erhalten und können im Netzwerk, insbesondere bei Domänen massive und vor allem unspezifische Probleme verursachen. Leider funktioniert NewSID weder bei Windows Vista, noch bei Server 2008. Hier muss auf das systemeigene Tool “Sysprep” zurückgegriffen werden. 

 

Screencast SIDs & NewSID

Im Screencast gibt es folgendes zu sehen:

1. Vorbereitungen

1.1 Testuser anlegen

1.2 Testressource anlegen

1.3 Testbenutzer Zugriff auf die Testressource gewähren

2. SID eines Users auslesen

2.1 SID des Testusers mit WMIC auslesen und in einer Textdatei speichern

2.2 SID auslesen

3. SID Vergleich eines alten und neuen Users

3.1 Testuser löschen

3.2 Neuen Testuser mit identischem Namen anlegen

3.3 SID des neuen Users in die Textdatei leiten

3.4 Vergleich der SID des alten/gelöschten und des neuen Users (mit identischem Namen)

4.  Wo ist der User geblieben?

4.1 Prüfen der Berechtigungseinträge der Ressource

5. Bleibt die SID beim Namenswechsel wirklich erhalten?

5.1 Testuser in TestuserNEU umbenennen

5.2 Welchen Effekt hat die Umbenennung auf die SID?

5.3 Welchen Effekft hat die Umbenennung auf die Berechtugungseinträge in der Ressource?

6. Auslesen der Computer SID

6.1 Verwendung von PSgetSID aus der Sysinternals Suite

6.2 Prüfen der Computer SID

7. NewSID ausführen

8. Neue SIDs prüfen

8.1 Welche SID hat der Testuser nun?

8.2 Was passiert mit den Berechtigungseinträgen in der Ressource?

 

Es wird nur CLT1 mit lokalem Administratoraccount benötigt.

 

 

Get the Flash Player to see the wordTube Media Player.

Tags: , , , , , ,

Comments

5 Comments on Wie funktioniert NewSID?

  1. Vorbereitende Schritte für die Referenzmaschinen : Lernschmiede.de on So, 28th Dez 2008 23:43

    2. [...] und kofiguriert. Die Installierten Applikationen sind die gleichen, wie auf Server 2003. Der SID-Änderungsprozess unterscheidet sich [...]

  2. Virtualisierung mit Virtual Server 2005 - Überblick und Konfiguration : Lernschmiede.de on Mo, 5th Jan 2009 02:27

    3. [...] nicht vergessen: Nach dem klonen ist NewSID und Sysprep Ihr bester [...]

  3. DC1 einrichten : Lernschmiede.de on Mi, 7th Jan 2009 00:44

    4. [...] Interessante und weiterführende Informationen zu SIDs, NewSID, PsgetSID und deren Zusammenhänge gibt es hier. [...]

  4. Schöner Netzwerken mit Windows 7 Beta2 : Lernschmiede.de on Mi, 14th Jan 2009 18:53

    5. [...] Alphauser wird vermutlich keine “well known SID” werden. Die SID des Alpha Sicherheitsprinzipals ist durch die Subautorität auf jedem Rechner [...]

  5. Exchange 2007 – Vorbereitung und Installation : Lernschmiede.de on Do, 1st Okt 2009 21:48

    6. [...] wird eine virtuelle Server 2003 Referenzmaschine kopiert und mit NewSID vorbereitet. Der Computername wird in Exch1 umbenannt und die IP auf 192.168.100.5 festgelegt. Der [...]

Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!