Discussion:
Wodurch wird die GUID erzeugt?
(zu alt für eine Antwort)
Christian Boeke
2005-01-11 09:59:02 UTC
Permalink
Hallo zusammen,

Wenn ich in einer AD-Domain ein Computerkonto erstelle, wird dieses Ja
anhand der GUID identifiziert. Wodurch wird am Rechner "festgelegt", dass es
diese GUID hat?
Ich kann ja beispielsweise die IP Adresse des Rechenrs ändern, oder die
Netzwerkkarte tauschen etc. Die Zugehörigkeit zum Computerkonto bleibt
bestehen. Erst wenn ich den Computernamen (= NetBIOS-Name? DNS-Name?) ändere,
verliert der Rechenr seine Domänenzugehörigkeit und dem alten Rechnernamen.
Ich kann ja beispielsweise auch Festpallten klonen. sie in einen anderen
Rechner einbauen, und mich an der Doäne anmelden.

Also woher weiß der Rechner, welche GUID er hat?

Besten Dank und schöne Grüße,

Christian
Nils Kaczenski [MVP]
2005-01-11 11:58:29 UTC
Permalink
Moin,
Post by Christian Boeke
Wenn ich in einer AD-Domain ein Computerkonto erstelle, wird dieses Ja
anhand der GUID identifiziert. Wodurch wird am Rechner "festgelegt",
dass es diese GUID hat?
du meinst nicht den GUID, sondern den SID. Der wird bei der OS-Installation
durch das Setup-Programm generiert.
Post by Christian Boeke
Ich kann ja beispielsweise auch
Festpallten klonen. sie in einen anderen Rechner einbauen, und mich
an der Doäne anmelden.
Nur, wenn du vorher mit Sysprep oder newsid einen neuen SID generiert hast.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.kaczenski.de
PM: Vorname at Webdomain
Das MVP-Buch zu Windows XP: http://www.kaczenski.de/content/view/8/27/
Christian Boeke
2005-01-11 12:21:04 UTC
Permalink
Hallo Nils,
Post by Nils Kaczenski [MVP]
du meinst nicht den GUID, sondern den SID. Der wird bei der OS-Installation
durch das Setup-Programm generiert.
Also wenn ich mich nicht ganz irre, werden die Rechneraccounts ab Win2000
mittels GUID identifiziert. Die Benutzerkonten mittels SID.
Frage ist bloß: wo speichert der Rechner seine Informationen, welche SID /
GUID er hat? auf der Festplatte?
Post by Nils Kaczenski [MVP]
Post by Christian Boeke
Ich kann ja beispielsweise auch
Festpallten klonen. sie in einen anderen Rechner einbauen, und mich
an der Doäne anmelden.
Nur, wenn du vorher mit Sysprep oder newsid einen neuen SID generiert hast.
Ne die neue SID /GUID wird doch erstellt, wenn ich z.B. den Rechenr aus der
Domäne nehme und dann mit einem anderen Namen wieder aufnehme. Wenn ich eine
Platte eines Rechners, der Domänenmitglied ist, clone (z.B. mittels Power
Quest Drive Image) kann ich die geklonte Platte in einen Rechner eibauen und
eine Domänenanmeldung durchführen. Dann kann ich Sysprep aufrufen und dem
Rechner neuen Namen etc verpassen, wodurch er sich dann vom Ursprungsrechner
unterscheidet.

Mfg,
Christian
Post by Nils Kaczenski [MVP]
--
Nils Kaczenski - MVP Windows Server
www.kaczenski.de
PM: Vorname at Webdomain
Das MVP-Buch zu Windows XP: http://www.kaczenski.de/content/view/8/27/
Denis Jedig
2005-01-11 12:52:20 UTC
Permalink
Post by Christian Boeke
Also wenn ich mich nicht ganz irre, werden die Rechneraccounts ab Win2000
mittels GUID identifiziert.
Nein, du verwechselst da augenscheinlich etwas. Im AD wird zwar tatsächlich
ein GUID-Attribut zu deinem Rechner gespeichert, doch ist dieses nicht
relevant für die Authentifizierungsmechanismen in der Domäne sowie für die
Definition von ACLs und Gruppenmitgliedschaften - dort war und bleibt es
die SID.

Das GUID-Attribut ist die UUID der SMBios-Spezifikation ab rev. 2.1 [1].
Diese UUID ist eine eindeutige Nummer eines Rechners, sie wird vom
Hardwarehersteller ähnlich einer MAC-Adresse für die Netzwerkkarte vergeben
und über z.B. WMI auslesbar. Ist die SMBios UUID nicht auslesbar, wird
(nach einigem Padding mit Nullen) die MAC-Adresse eines Interfaces des
jeweiligen Systems als GUID festgelegt.

[1]
http://www.phoenix.com/NR/rdonlyres/51EEA1E6-20C1-4FA2-A3D8-AD8E45335C47/0/specssmbios.pdf
--
Denis Jedig
syneticon GbR
Nils Kaczenski [MVP]
2005-01-11 13:37:22 UTC
Permalink
Moin,
Post by Denis Jedig
Das GUID-Attribut ist die UUID der SMBios-Spezifikation ab rev. 2.1
moment, da sprichst du aber von dem PXE-GUID. Tatsächlich gibt es natürlich
auch im AD einen GUID, aber der hat weder mit dem SID noch mit dem PXE-GUID
etwas zu tun. Der GUID des AD dient zur eindeutigen Erkennung von
AD-Objekten und -Transaktionen über alle DCs eines Forest hinweg.

Was der OP sucht, ist aber (wie du ja auch richtig betonst) immer noch der
SID. Dieser wird /nicht/ beim Aufnehmen in die Domäne erzeugt (sondern in
diesem Moment nur als Attribut dem Computerkonto hinzugefügt), sondern (wie
ich schrieb) bei der Installation.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.kaczenski.de
PM: Vorname at Webdomain
Das MVP-Buch zu Windows XP: http://www.kaczenski.de/content/view/8/27/
Denis Jedig
2005-01-11 16:07:25 UTC
Permalink
Moin,
[GUID-Wald]
Ich stelle fest: es wäre gut gewesen, das angesprochene Attribut des
Computerkontoobjektes eindeutiger zu benennen, "SMBios-UUID" z.B...
Was der OP sucht, ist aber (wie du ja auch richtig betonst) immer noch der
SID.
Was der OP wirklich sucht, ist mir immer noch nicht ganz klar.
Dieser wird /nicht/ beim Aufnehmen in die Domäne erzeugt (sondern in
diesem Moment nur als Attribut dem Computerkonto hinzugefügt), sondern (wie
ich schrieb) bei der Installation.
Hm, Wirrwarr...
Der lokale Security Identifier des Systems müsste doch noch ein anderer
sein, als der Security Identifier des Computerkontoobjekts im AD der
vertrauten Domäne (objectSID). Ich sehe in der Beschreibung der
Computer-Objektklasse im MSDN
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/c_computer.asp
jedoch kein Object-SID-Attribut. Ist das wirklich nicht da? *kopfkratz*
oder ist es nicht gelistet, weil von User vererbt?
--
Denis Jedig
syneticon GbR
Nils Kaczenski [MVP]
2005-01-11 16:24:09 UTC
Permalink
Moin,
*kopfkratz* oder ist es nicht gelistet, weil von User vererbt?
so ist es. Computer gehören der objectClass "user" an. (Daher muss man bei
LDAP-Abfragen auf "echte" Userobjekte ja auch einen Doppelfilter setzen:
(&(objectClass=user)(objectCategroy=person)), um die Computer auszublenden.)


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.kaczenski.de
PM: Vorname at Webdomain
Das MVP-Buch zu Windows XP: http://www.kaczenski.de/content/view/8/27/
Denis Jedig
2005-01-11 16:47:21 UTC
Permalink
Post by Nils Kaczenski [MVP]
Moin,
*kopfkratz* oder ist es nicht gelistet, weil von User vererbt?
so ist es. Computer gehören der objectClass "user" an.
Mich wundert es, weil andere Attribute, etwa Object-Guid explizit in der
Referenz angegeben sind. Auf jeden Fall muss die Object-SID doch von der SA
der Domäne vergeben werden, weil diese dafür zu sorgen hat, dass diese SID
(auch über beliebige Zeiträume hin) eindeutig ist.
--
Denis Jedig
syneticon GbR
Nils Kaczenski [MVP]
2005-01-11 17:03:05 UTC
Permalink
Moin,
Post by Denis Jedig
Auf jeden Fall muss die Object-SID doch
von der SA der Domäne vergeben werden, weil diese dafür zu sorgen
hat, dass diese SID (auch über beliebige Zeiträume hin) eindeutig ist.
könnte auch sein, dass es nicht so ganz stimmt. Eine SID-Abfrage, die bei
Usern den SID zurückgibt, liefert bei Computern jedenfalls nix. Also stelle
ich hiermit meine Aussagen in diesem Thread unter Vorbehalt. ;-)


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.kaczenski.de
PM: Vorname at Webdomain
Das MVP-Buch zu Windows XP: http://www.kaczenski.de/content/view/8/27/
Daniel Melanchthon [MVP]
2005-01-11 16:43:03 UTC
Permalink
Post by Christian Boeke
Wenn ich eine
Platte eines Rechners, der Domänenmitglied ist, clone (z.B. mittels Power
Quest Drive Image) kann ich die geklonte Platte in einen Rechner eibauen und
eine Domänenanmeldung durchführen. Dann kann ich Sysprep aufrufen und dem
Rechner neuen Namen etc verpassen, wodurch er sich dann vom Ursprungsrechner
unterscheidet.
Hallo Christian,

Dein Vorgehen ist hier falsch. Du mußt den Rechner mit Sysprep behandeln,
*bevor* du ihn klonst. Sysprep ist nicht nur ein NewSID-Ersatz, der nur die
SID ändert. Mit Sysprep sorgst Du dafür, dass der Rechner überhaupt erst
auf anderer Hardware läuft (geringste Mainboard-Änderungen bringen Dir
sonst ganz schnell einen Bluescreen mit Inaccessible Boot Device!), der
Rechner automatisch in die Domäne aufgenommen wird und dass der ganze
Vorgang automatisierbar durch Skriptunterstützung ist. Weiterhin kannst Du
imho bei XP auch die HAL wechseln, was Du nicht unterschätzen solltest. Es
gibt da z.B. PCs mit APM-HAL, ACPI-HAL, APIC, non-APIC, Single- und
Multiprozessor (HT-Pentium!), etc. Die Menge der möglichen Kombinationen
lassen den Imagingaufwand schnell exorbitant ansteigen - deswegen kannst Du
dort Sysprep nehmen, um wieder nur auf ein Image aufzusetzen.
--
Gruss aus dem Hoch im Norden!
Daniel Melanchthon - MVP Exchange Server

"Banging your head against a wall uses 150 calories an hour!"
Lesen Sie weiter auf narkive:
Suchergebnisse für 'Wodurch wird die GUID erzeugt?' (Fragen und Antworten)
12
Antworten
Schimmel am Fenster, wieso?
gestartet 2008-02-05 22:05:07 UTC
haus & garten
Loading...