Novell Doc: Referencia sobre los servicios de prearranque y la generación de imágenes de ZENworks 10 Configuration Management - Servicio ISD de Novell ZENworks (novell-zisdservice)

E.3 Servicio ISD de Novell ZENworks (novell-zisdservice)

El servicio ISD de Novell ZENworks (novell-zisdservice) guarda determinados datos exclusivos de cada dispositivo (como la dirección IP, el nombre de host, etc.) en una parte del disco duro segura para usarla en la generación de imágenes. El agente de generación de imágenes registra esta información cuando se instala en el dispositivo. A continuación, novell-zisdservice restaura esa información, excepto el SID, desde el área segura para usar en imágenes, después de que se haya generado la imagen del dispositivo. lo que permite que el dispositivo utilice la misma identidad de red que antes. SIDchanger restaura el SID.

Novell-zisdservice está disponible únicamente en dispositivos con Windows Vista y Windows 2008.

NOTA:después de instalar ZENworks Adaptive Agent en un dispositivo con Windows 7 (de 32 o 64 bits), Windows Server 2008 de 32 bits o Windows Server 2008 R2 y reiniciar los dispositivos, sólo el ID y el GUID del dispositivo se escriben en ISD. En consecuencia, ziswin muestra sólo el ID y el GUID del dispositivo. No obstante, este hecho no tiene ninguna repercusión en el funcionamiento de ZENworks Configuration Management. Otros datos del dispositivo se recuperan en los rearranques posteriores del dispositivo, ya sean manuales o automáticos.

Si un dispositivo es nuevo y no incluye una identidad de red exclusiva, cuando se genera la imagen del dispositivo mediante un lote de generación de imágenes de los servicios de prearranque, se aplican los valores por defecto que se hayan configurado para la zona de gestión.

Los datos que el Agente de de Imaging guarda en (o restaura desde) el área segura para usar en imágenes incluyen lo siguiente:

Si se utiliza una dirección IP estática o DHCP
Si se utiliza una dirección IP estática:
- Dirección IP
- Máscara de subred
- Gateway por defecto (router)
Ajustes de DNS
- Sufijo DNS
- Nombre de host DNS
- Servidores DNS

Normalmente, novell-ziswin se ejecuta de forma automática.

ZENworks SIDchanger se ejecuta automáticamente después de la restauración de la imagen en los dispositivos gestionados con Vista y Windows Server 2008. Se ejecuta normalmente en la distribución de ZENworks Imaging, que es un entorno Linux. En consecuencia, SIDchanger cambia el SID de Windows en el entorno Linux.

Revise las secciones siguientes para obtener información detallada:

E.3.1 Descripción del SID

El identificador de seguridad (SID) lo genera una autoridad de seguridad, que es Windows en un equipo local y el controlador de dominio si se trata de un dominio o de una red de Active Directory.

Windows concede o deniega accesos y privilegios a recursos basándose en las ACL que utilizan SID para identificar de forma exclusiva a los usuarios y la pertenencia a grupos. Cuando un usuario solicita acceso a un recurso, el SID del usuario se comprueba con la ACL para determinar si el usuario tiene permiso para realizar la acción o si el usuario forma parte de un grupo que tenga permiso para ello.

El SID de un equipo es un número exclusivo de 96 bits. Dicho valor actúa como prefijo de los SID en las cuentas de usuario y en las cuentas de grupo que se crean en el equipo. El SID del equipo se concatena con el ID relativo (RID) de la cuenta para dar lugar al identificador exclusivo de la cuenta.

Los SID tienen el siguiente formato: S-1-5-12-7623811015-3361044348-030300820-1013.

S indica que la cadena es un SID.
1 es el nivel de revisión.
5 es el valor de la autoridad identificadora.
12-7623811015-3361044348-030300820 es el identificador del dominio o del equipo local.
1013 es un ID relativo (RID).

El valor del SID debe ser exclusivo en los distintos equipos, ya que si se repiten pueden producirse problemas en caso de que sea necesario identificar de forma exclusiva el equipo o el usuario. En un entorno de dominio, si un sistema con un SID duplicado intenta unirse al dominio, se producirán errores.

Por ejemplo, en un entorno de grupo de trabajo, la seguridad se basa en los SID de la cuenta local. En consecuencia, si dos equipos tienen usuarios con el mismo SID, el grupo de trabajo no podrá distinguir entre los usuarios. Ambos grupos de usuarios podrán acceder a todos los recursos, incluidos los archivos y las claves de registro.

E.3.2 Descripción de ZENworks SIDchanger

ZENworks SIDchanger se ejecuta sólo si se cumplen las siguientes condiciones:

El indicador JustImaged está establecido.

En los datos seguros para usar en imágenes, el indicador JustImaged se establece cada vez que se restaure una imagen.
Existen particiones de Vista y Windows 2008.

Es necesario cambiar el SID del sistema Windows después de haber efectuado una restauración de imagen porque el SID debe ser exclusivo. Cuando se restaura la imagen en el dispositivo cuya imagen se acaba de realizar, el dispositivo contiene el SID de la imagen, lo que puede originar una duplicación de SID. Sin embargo, ziswin gestiona este asunto en todas las versiones de Windows anteriores a Windows Vista. Ziswin cambia el SID de Windows al rearrancar por primera vez después de restaurar la imagen.

Windows Vista incluye restricciones de acceso adicionales que impiden el cambio automático de SID en el registro en los entornos Windows. SIDchanger se encarga de resolver este problema en las particiones de Vista y de Windows 2008.

ZENworks SIDchanger obtiene el SID del registro y lo cambia en las siguientes situaciones:

Si ISD (datos seguros para usar en imágenes) no incluye un SID.
Si el SID de ISD no coincide con el SID del equipo.

NOTA:el motor de ZENworks Imaging no puede generar imágenes de particiones cifradas usando la tecnología BitLocker*. BitLocker Drive Encryption es una función de cifrado que afecta al disco entero y que se incluye con los sistemas operativos Windows Vista y Windows Server 2008 de Microsoft. Está diseñada para proteger los datos proporcionando cifrado para volúmenes enteros.

Después de cambiar el SID, no se puede acceder a los archivos que se haya cifrado usando el cifrado de archivos de Windows, ya que el cifrado de archivos de Windows se sirve del SID. Si desea acceder a los archivos cifrados, deberá hacer una copia de seguridad de la clave de cifrado antes de tomar la imagen y, a continuación, importar dicha clave después de cambiar el SID.

E.3.3 Inhabilitación de SIDchanger

Es necesario inhabilitar ZENworks SIDchanger usando ziswin o el explorador de imágenes si desea usar una herramienta de otro fabricante como, por ejemplo, SYSPREP, para cambiar el SID.

Uso de Ziswin para inhabilitar SIDchanger

Puede usar ziswin para inhabilitar SIDchanger sólo en los dispositivos gestionados. Haga lo siguiente antes de generar la imagen:

En ziswin, haga clic en Editar > Opciones > Restaurar máscara.
Seleccione SID de Windows.

Esta acción creará un archivo de sistema oculto restoremask.xml en la unidad de sistema, con el siguiente contenido:
```
<ISDConf>
 <DoNotRestoreMask>
  <SID>true</SID>
 </DoNotRestoreMask>
</ISDConf>
```
Para inhabilitar SIDchanger, asegúrese de que el valor de <SID> esté configurado como verdadero (true). Si desea habilitar SIDchanger, defina el valor como falso (false).

Uso del explorador de imágenes para inhabilitar SIDchanger

Cree el archivo restoremask.xml con el siguiente contenido:

<ISDConf>
 <DoNotRestoreMask>
    <SID>true</SID>
 </DoNotRestoreMask>
</ISDConf>

Abra la imagen que desee restaurar en el explorador de imágenes y, a continuación, añada el archivo restoremask.xml a la unidad de sistema de la imagen.
Guarde la imagen.