Der Novell ZENworks ISD Service (novell-zisdservice) speichert bestimmte für das Gerät eindeutige Daten (wie IP-Adressen und Hostnamen) in einem Image-sicheren Bereich auf der Festplatte. Der Imaging-Agent speichert diese Informationen, wenn er auf dem Gerät installiert wird. novell-zisdservice stellt diese Information, mit Ausnahme der SID, aus dem Image-sicheren Bereich wieder her, nachdem ein Image des Geräts erstellt wurde. Dadurch kann das Gerät dieselbe Netzwerkidentität verwenden wie vorher. Die SID wird vom SIDchanger wiederhergestellt.
Der Service novell-zisdservice steht nur auf Windows Vista- und Windows 2008-Geräten zur Verfügung.
HINWEIS:Nach der Installation von ZENworks Adaptive Agent auf einem Windows 7-Gerät (32-Bit oder 64-Bit), einem Windows Server 2008 32-Bit-Gerät oder Windows Server 2008 R 2-Gerät und einem anschließenden Neustart des Geräts werden nur die Geräte-ID und die Geräte-GUID in die ISD geschrieben. Ziswin zeigt daher nur die Geräte-ID und die Geräte-GUID an. Dies wirkt sich jedoch nicht auf die Funktionalität von ZENworks Configuration Management aus. Alle weiteren Gerätedaten werden beim nächsten manuellen oder automatischen Neustart des Geräts abgerufen.
Wenn ein Gerät neu ist und keine eindeutige Netzwerkidentität enthält, werden beim Imaging des Geräts mit einem Preboot Services-Imaging-Bundle die Standardeinstellungen übernommen, die Sie für die Verwaltungszone konfiguriert haben.
Die Daten, die der Imaging-Agent in einem Image-sicheren Bereich speichert (oder aus diesem Bereich wiederherstellt), enthalten die folgenden Informationen:
Verwendung einer statischen IP-Adresse oder DHCP
Verwendung einer statischen IP-Adresse
IP-Adresse
Teilnetzmaske
Standard-Gateway (Router)
DNS-Einstellungen
DNS-Suffix
DNS-Hostname
DNS-Server
Novell-ziswin wird normalerweise automatisch ausgeführt.
ZENworks SIDchanger wird nach einer Image-Wiederherstellung auf verwalteten Vista- und Windows Server 2008-Geräten automatisch ausgeführt. Das Programm wird innerhalb der ZENworks-Imaging-Distribution ausgeführt, bei der es sich um eine Linux-Umgebung handelt. Somit ändert der SIDchanger die Windows-SID innerhalb der Linux-Umgebung.
Detaillierte Informationen hierzu finden Sie in folgenden Abschnitten:
Die Sicherheits-ID (SID) wird von einer Sicherheitsautorität erstellt. Dies ist Windows bei lokalen Computern und der Domänencontroller in Domänen oder Active Directory-Netzwerken.
Windows gewährt oder verweigert den Zugriff auf und Privilegien für Ressourcen auf der Grundlage von ACLs, die SIDs für die eindeutige Identifizierung von Benutzern und ihren Gruppenmitgliedschaften verwenden. Wenn ein Benutzer den Zugriff auf eine Ressource anfordert, wird die SID des Benutzers von der ACL überprüft, um festzustellen, ob der Benutzer die betreffende Aktion durchführen darf bzw. ob der Benutzer zu einer Gruppe gehört, die die Aktion durchführen darf.
Die SID eines Computers ist eine eindeutige 96-Bit-Nummer. Die Computer-SID stellt die SIDs von auf dem Computer erstellten Benutzer- und Gruppenkonten als Präfix voran. Die Computer-SID wird mit der relativen ID (RID) des Kontos verkettet, um die eindeutige Kennung des Kontos zu erstellen.
Die SID weist folgendes Format auf: S-1-5-12-7623811015-3361044348-030300820-1013.
Eine SID sollte computerübergreifend eindeutig sein, da doppelte SIDs zu Problemen führen können, wenn der Computer oder der Benutzer eindeutig identifiziert werden muss. Wenn in einer Domänenumgebung ein System mit einer doppelten SID versucht, der Domäne beizutreten, führt dies zu Fehlern.
In Arbeitsgruppenumgebungen beispielsweise beruht die Sicherheit auf lokalen Konto-SIDs. Wenn also zwei Computer Benutzer mit derselben SID aufweisen, kann die Arbeitsgruppe nicht zwischen den Benutzern unterscheiden. Daher können beide Benutzer auf alle Ressourcen, einschließlich Dateien und Registrierungsschlüssel, zugreifen.
Der ZENworks-SIDchanger wird nur ausgeführt, wenn folgende Bedingungen erfüllt sind:
Die Flagge „JustImaged“ wurde gesetzt.
In den Image-sicheren Daten wird die Flagge „JustImaged“ bei jeder Wiederherstellung eines Image gesetzt.
Es sind Vista- und Windows 2008-Partitionen vorhanden.
Sie müssen die SID des Windows-Systems nach der Image-Wiederherstellung ändern, da SIDs eindeutig sein müssen. Wenn das Image auf dem Gerät, für das soeben ein Image erstellt wurde, wiederhergestellt wird, enthält das Gerät die SID im Image, was zu einer SID-Verdoppelung führen kann. Bei allen Windows-Versionen vor Windows Vista wird dies jedoch von ziswin geregelt. ziswin ändert die Windows-SID beim ersten erneuten Booten nach der Wiederherstellung des Image.
Windows Vista erzwingt weitere Zugriffsbeschränkungen, die eine Änderung der SID über die Registrierung in der Windows-Umgebung unmöglich machen. Dieses Problem wurde jedoch durch den SIDchanger gelöst, der für Vista- und Windows 2008-Partitionen ausgeführt wird.
Der ZENworks SIDchanger ruft die SID aus der Registrierung ab und ändert sie in folgenden Szenarios:
Wenn die ISD (Image-sicheren Daten) keine SID enthalten.
Wenn die ISD-SID nicht mit der Computer-SID übereinstimmt.
HINWEIS:Die ZENworks-Imaging-Engine kann keine Images von Partitionen erstellen, die mit der BitLocker*-Technologie verschlüsselt wurden. BitLocker-Laufwerkverschlüsselung ist eine Verschlüsselungsfunktion für den gesamten Datenträger, die in den Microsoft-Betriebssystemen Windows Vista und Windows Server 2008 enthalten ist. Sie soll Daten durch eine Verschlüsselung des gesamten Volume schützen.
Nach der Änderung der SID ist kein Zugriff auf die Dateien mehr möglich, die mit der Windows-Dateiverschlüsselung verschlüsselt wurden, da die Windows-Dateiverschlüsselung die SID verwendet. Um auf die verschlüsselten Dateien zugreifen zu können, müssen Sie den Verschlüsselungsschlüssel für die Dateien sichern, bevor Sie das Image erstellen, und den Schlüssel nach dem Ändern der SID importieren.
Sie müssen den ZENworks-SIDchanger entweder mithilfe von ziswin oder mit Image Explorer deaktivieren, wenn Sie die SID mit einem Drittanbieterwerkzeug, wie beispielsweise SYSPREP, ändern möchten.
Mithilfe von ziswin kann der SIDchanger nur für verwaltete Geräte geändert werden. Gehen Sie wie folgt vor, bevor Sie das Image erstellen:
Klicken Sie in ziswin auf > > .
Wählen Sie die Option aus.
Dadurch wird im Systemlaufwerk eine verborgene restoremask.xml-Systemdatei mit folgendem Inhalt erstellt:
<ISDConf> <DoNotRestoreMask> <SID>true</SID> </DoNotRestoreMask> </ISDConf>
Um den SIDchanger zu deaktivieren, müssen Sie sicherstellen, dass der Wert von <SID> auf „true“ (wahr) gesetzt ist. Wenn Sie den SIDchanger aktivieren möchten, setzen Sie den Wert auf „false“ (falsch).
Erstellen Sie die Datei restoremask.xml mit folgendem Inhalt:
<ISDConf>
<DoNotRestoreMask>
<SID>true</SID>
</DoNotRestoreMask>
</ISDConf>
Öffnen Sie das wiederherzustellende Image in Image Explorer und fügen Sie dann die Datei restoremask.xml zum Systemlaufwerk des Image hinzu.
Speichern Sie das Image.