Novell ZENworks SIDサービス(novell-zisdservice)は、イメージングから保護されるハードディスクの領域にデバイス固有のデータ(IPアドレスやホスト名など)を保存します。イメージングエージェントは、デバイスへのインストール時にこの情報を記録します。novell-zisdserviceは、デバイスのイメージング後、SID以外のこの情報をイメージセーフ領域から復元します。これにより、デバイスは以前と同じネットワークIDを使用できます。SIDは、SIDchangerによって復元されます。
novell-zisdserviceは、Windows VistaおよびWindows 2008デバイスでのみ利用できます。
デバイスが新しく、固有なネットワークIDが含まれていない場合、プレブートサービスイメージングバンドルを使用してデバイスをイメージングするときに、管理ゾーンに設定しているデフォルト設定が適用されます。
イメージングエージェントがイメージセーフ領域に対し保存(またはこれから復元)するデータには、次があります。
スタティックなIPアドレスまたはDHCPが使用されているかどうかを示すデータ
スタティックなIPアドレスが使用されている場合:
IPアドレス
サブネットマスク
デフォルトゲートウェイ(ルータ)
DNS設定
DNSサフィックス
DNSホスト名
DNSサーバ
Novell-ziswnは、通常、自動的に実行されます。
ZENworks SIDchangerは、VistaおよびWindows Server 2008管理対象デバイス上でイメージが復元された後に自動的に実行されます。これは、Linux環境であるZENworksイメージング配布内で実行されます。祖の結果、SIDchangerはWindows SIDをLinux環境内で変更します。
詳細については、次のセクションを参照してください。
セキュリティ識別子(SID)は、ローカルコンピュータ上ではWindows、ドメインまたはActive Directoryネットワーク上ではドメインコントローラである、セキュリティオーソリティによって生成されます。
Windowsでは、ユーザおよびそのグループメンバーシップを一意に識別するSIDを使用するACLに基づいて、リソースに対するアクセスおよび権限を与えたり拒否したりします。ユーザがリソースへのアクセスを要求すると、ACLによってユーザのSIDがチェックされ、そのアクションの実行がユーザに許可されているか、そのアクションの実行が許されたグループにユーザが含まれているかが判断されます。
マシンのSIDは、96ビットの一意の数字です。コンピュータ上で作成されたユーザアカウントまたはグループアカウントのSIDの前に、マシンのSIDが接頭辞として付けられます。マシンのSIDは、 アカウントの相対ID (RID)と連結され、アカウントの固有の識別子を形成しています。
SIDは、S-1-5-12-7623811015-3361044348-030300820-1013のようなフォーマットになります。
SIDは、マシンまたはユーザを一意的に識別する必要がある場合に、重複していると問題が発生する可能性があるので、異なるマシン間でもこのSIDが一意になる必要があります。ドメイン環境では、SIDが重複しているシステムがドメインに参加しようとすると、エラーが発生します。
たとえば、ワークグループ環境では、セキュリティはローカルアカウントのSIDに基づいています。その結果、同じSIDのユーザを持つ2台のコンピュータがある場合、ワークグループはこれらのユーザを区別できません。そのため、両方のユーザが、ファイルおよびレジストリキーなどを含むすべてのリソースにアクセスできます。
ZENworks SIDchangerは、次の条件を満たす場合にのみ、実行できます。
JustImagedフラグが設定されている。
イメージセーフデータ内では、イメージが復元されると、必ずJustImagedフラグが設定されます。
VistaおよびWindows 2008のパーティションが存在する。
SIDは一意である必要があるので、イメージの復元後はWindowsシステムのSIDを変更する必要があります。新しくイメージが作成されたデバイス上でイメージが復元されると、デバイスは、イメージ内のSIDを含むことになり、SIDが重複する結果となってしまう場合があります。ただし、この問題は、Windows Vistaより前のWindowsシステムでは、ziswinによって対処されます。ziswinは、イメージの復元後の最初の再起動時に、WndowのIDを変更します。
Windows Vistaでは、追加のアクセス制限が強制されるので、Windows環境内のレジストリ間でSIDを自動的に変更できないようになっています。ただし、この問題は、VistaおよびWindows 2008のパーティション用に実行されるSIDchangerによって解決されます。
ZENworks SIDchangerは、レジストリからSIDを取得し、次のシナリオでSIDを変更します。
ISD (イメージセーフデータ)にSIDが含まれない場合。
ISDのSIDがコンピュータのSIDと一致しない場合。
メモ:ZENworksイメージングエンジンは、BitLocker*技術を使用して暗号化されたパーティションのイメージを取得することはできません。BitLockerドライブ暗号化は、MicrosoftのWindows VistaおよびWindows Server 2008オペレーティングシステムに含まれるフルディスク暗号化機能です。この機能は、ボリューム全体を暗号化することでデータを保護するように設計されています。
Windows暗号化にはSIDが使用されるので、SIDを変更すると、Windowsファイル暗号化を使用して暗号化されたファイルにはアクセスできません。暗号化されたファイルにアクセスするには、イメージを取得する前にファイルの暗号化キーをバックアップし、SIDの変更後にキーをインポートする必要があります。
SIDを変更するのに、PREPなどのサードパーティのツールを使用する場合は、ziswinまたはImage Explorerのいずれかを使用してZENworks SIDchangerを無効化する必要があります。
ziswinを使用して、管理対象デバイスのみを対象にSIDchangerを無効化することができます。イメージを取得する前に、次の手順を実行します。
ziswinの中で、[]>[]>[]の順にクリックします。
[]を選択します。
これにより、次の内容を持つ隠れたrestoremask.xmlシステムファイルがシステムドライブ内に作成されます。
<ISDConf> <DoNotRestoreMask> <SID>true</SID> </DoNotRestoreMask> </ISDConf>
SIDchangerを無効化するには、<SID>の値がtrueに設定されていることを確認します。SIDchangerを有効化するには、この値をfalseに設定します。
次の内容で、restoremask.xmlファイルを作成します。
<ISDConf>
<DoNotRestoreMask>
<SID>true</SID>
</DoNotRestoreMask>
</ISDConf>
復元するイメージをImage Explorerで開き、restoremask.xmlファイルをイメージのシステムドライブに追加します。
イメージを保存します。