微軟的操作系統很早就開始使用安全標識符(SID)對計算機和用戶進行識別,如果你是域管理員,應該知道:分配給計算機賬號的叫 Machine SID,分配給用戶賬戶的是用戶賬戶 SID。處於工作組計算機的 SID 是由算法生成的,除特殊賬戶外,其它用戶的 SID 也是由算法生成的;而域中各對象的 SID 是由域範圍的 SID 和具有唯一性的相對標識符 (RID) 連接組成,RID 是在創建安全主體時由域中的 RID Master 分配的。RID Master 的作用是:分配可用 RID 池給域內的 DC 以及防止對象的 SID 重複。
為什麼要進行Sysprep
當你從一臺主機克隆出多個 PC,或者使用同一虛擬機母板克隆出多臺 VM 之後,其 SID 勢必會相同,在加入域時會造成安全主體的識別混亂和加域失敗等。對於同一局域網中,存在相同 SID 的計算機或賬戶也可能會導致很多奇怪的問題,特別是權限和安全方面的問題。以上原理說清楚之後,大家便知道為什麼要進行 Windows 10 Sysprep 操作了。
不可迴避的是,也有很多 IT 管理員採用了各種克隆技術來快速批量部署數十、數百甚至上千臺的 PC 或服務器,這種以映像方式將 Windows 操作系統、應用程序和軟件配置進行批量分發的場景已經非常常見。那麼 SID 是否重複就顯得尤為重要,如果不確定你的 Windows 10 客戶端是否有 SID 相同的情況,可以使用我們在之前介紹 Sysinternals 系列中所介紹的 psgetsid 工具進行查看。
之前 sysinternals 套件中提供了一個 newsid 小工具也可以實現清除 SID 的功能,但由於各種原因目前該工具已被取消,其作者 mark 也在其博客文章中進行了詳細解釋。因此,現在 Sysprep 已是被微軟所支持用於解決 SID 重複問題的唯一工具。
如何使用Windows 10 Sysprep
要在 Windwos 10 中執行 Sysprep 操作非常簡單,只需瀏覽到 C:\Windows\System32\sysprep 目錄執行sysprep.exe 文件即可。
在彈出的「系統準備工具」窗口中,我們通常會選擇「OOBE」和「通用」選項,其中的 OOBE 是指系統下次啟動之後重新進入配置界面(與全新安裝 Windows 10 之後的操作幾乎一樣),選擇「關機」是為方便管理員將該系統製作成虛擬機母板或要分發的映像母板。
如果你喜歡使用命令行,Sysprep 也支持命令行操作,可通過如下命令實現上述圖形界面的功能:
Sysprep /generalize /shutdown /oobe
為方便管理員製作虛擬機模板,Windwos 10 中的 sysprep 還支持 VM 模式,該模式可以方便地幫助管理員製作 VHD(X) 進行快速部署。VM 模式只支持在虛擬機中使用,而且只能通過命令行來操作:
Sysprep /generalize /oobe /mode:vm
一旦 Sysprep 開始執行操作,Windows 10 將在相關工作處理完成後按管理員的選擇進行關機或重啟。
操作執行完成後,我們就可以使用映像抓取工具進行捕獲後部署或將 VHD/VMDK 用於全新的虛擬機當中。所有進行過 Sysprep 操作的 Windows 10 由於剔除了安全標識符等操作系統主體信息,在下次啟動時會重新進入 OOBE 階段。
閱讀更多 系統極客 的文章
