用磁碟映像檔部署的電腦無法加入AD網域

用磁碟映像檔部署的電腦無法加入AD網域

文/張明德 (記者) 2007-07-05

使用Ghost等系統備份軟體擷取已完成系統與應用程式安裝的電腦磁碟映像（Disk Image），再把磁碟映像部署到其他電腦時，為什麼新建好的系統無法加入AD網域？

利用已安裝好作業系統與應用程式的磁碟映像，是在大量電腦上部署軟體的簡便方法，由於複製內含系統的磁碟整個磁區，要比逐一複製檔案快速許多，因此使用者可免除完整安裝系統所耗費的大量時間。 但問題是每個複製出來的系統，都會具有與作為磁碟映像範本系統相同的電腦安全識別碼（Security Identifier，SID），在登入AD網域時，會出現「指定網域的名稱或安全性識別碼（SID）與該網域的信任資訊不一致。」的錯誤，相同SID在 登入網域時將發生衝突，以致被AD伺服器阻擋。 由於AD網域指認可唯一的SID，因此這個問題必須透過修改SID才能解決。但SID並不會隨著電腦或加入網域名稱的更改而變，故須使用特定工具程式，常用解決方式有兩種： 1.從Windows安裝片中找出\Support\Tools\Deploy.cab檔案，然後解壓縮出Sysprep.exe與setupcl程式並執行重新封裝，即可為該電腦產生新的SID，並登入網域。 從Windows光碟片中找出\Support\Tools\Deploy.cab檔案，解壓縮出Sysprep.exe與setupcl程式，執行重新封裝選項。 2.由於使用Sysprep重新封裝系統需耗費較多的時間，必要時還需輸入產品序號，使用上相當不方便，因此亦可使用專門的SID修改工具，如Sysinternals免費提供的NewSID直接更改系統的SID。 此工具程式可由此處下載，NewSID 最新版本為v4.10，可支援Windows NT/2000/XP與 Server 2003。NewSID 需要系統管理權限才能執行，具備變更電腦SID和電腦名稱的功能。NewSID會先為電腦產生隨機的SID，接著在系統登錄檔中找到的既有電腦的SID， 並以新產生的SID取代。 除Windows內附的Sysprep與免費的NewSID外，Symantec的SID Changer與Ghost Walker也都可以用來更改SID，不過這兩個程式都是需付費的商用軟體。 除了利用磁碟映像部署作業系統時會遭遇SID問題外，在使用虛擬機器（VM）由一個安裝完成做系統的VM複製出多個新VM時，也會遇到相同的SID問題，亦可使用前述方法解決。文⊙張明德 名詞解釋－SID SID是安全識別碼的縮寫，為微軟作業系統指定給網域或本機電腦帳戶之唯一識別碼。在新帳戶建立時，系統即會依據電腦名稱、當前時間等參數賦予一個唯一的SID。 NT/2000以後的微軟作業系統都是透過SID來識別帳戶身分，且SID不隨帳號名稱而變，即使把系統管理員的帳號改為別的名稱，系統仍可依據SID識 別出此帳號是具有系統管理權限的帳戶。即使帳戶名稱相同，但SID仍不同，故作業系統不會混淆。就像每個人一出生去登記戶口時即會得到一個身分證字號，此 後更改姓名不會造成身分證字號的更動，或同名同姓的兩個人不會有相同身分證字號一樣 網路中若有兩臺電腦或兩個帳戶的SID重複時，則系統會把這兩個帳號視為同一個，並給與相同的存取權限，會產生嚴重的安全問題，故AD網域不允許相同SID的電腦加入。